お問い合わせ採用情報お客様ログイン

RONDHUIT

ニュースINFORMATION

ホーム > ニュース > [Solrプラグイン] セキュリティ警告:CVE-2012-3544 Chunked transfer encoding extension size is not limited

[Solrプラグイン] セキュリティ警告:CVE-2012-3544 Chunked transfer encoding extension size is not limited

2013.05.13
お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
  • rel-0.10.4 (Tomcat 6.0.36)
  • rel-0.9.2 (Tomcat 6.0.36)
○ CVE-2012-3544 Chunked transfer encoding extension size is not limited
重要度:重要

チャンクド転送エンコードを使って投げられたリクエストを処理しているとき、
Tomcatは含まれるあらゆる拡張を制限なく許してしまいます(無視します)。
これは無制限の量のデータをサーバにストリームすることによってクライアントが
制限されたDOSを実行するのを許してしまいます。

回避策:
下記の回避策をお取りください:
– Tomcat 7.0.x ユーザーは 7.0.30 以降にアップグレードする
– Tomcat 6.0.x ユーザーは 6.0.37 以降にアップグレードする

クレジット:
本問題は Steve Jones によって発見されました。

参考情報:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html

当社の今後の対応について:
RCSS 1.x 系に同梱されるTomcatは7.0.30以降であり特に対応は必要ありません。
RCSS 0.x 系に同梱されるTomcatは6.0.36以前ですが、RCSS 0.x 系の今後の
リリースは予定しておりません。

該当するお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。

以上、今後ともよろしくお願い申し上げます。

▲ ページの先頭に戻る

ピックアップ

お問い合わせ

 

PAGE TOP
HOME
Apache Solr, Lucene, Hadoop, Mahout, Spark, ManifoldCF, UIMA and their logos are trademarks of the Apache Software Foundation.
Copyright © 2006-2017 RONDHUIT Co, Ltd. All Rights Reserved.