お問い合わせ採用情報お客様ログイン

RONDHUIT

ニュースINFORMATION

ホーム > ニュース > [Solrプラグイン] セキュリティ警告:CVE-2013-4590 Information disclosure via XXE when running untrusted web applications

[Solrプラグイン] セキュリティ警告:CVE-2013-4590 Information disclosure via XXE when running untrusted web applications

2014.02.26
お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象 Solr プラグインリリース:
  • rel-0.x (Apache Tomcat 6.0.0 to 6.0.37)
  • rel-1.x (Apache Tomcat 7.0.0 to 7.0.47)

○ CVE-2013-4590 Information disclosure via XXE when running untrusted
web applications
重要度:低

web.xml, context.xml, *.tld, *.tagx and *.jspxのような、アプリケーションに
よって提供されたXMLファイルは、アタッカーにTomcat内部を露出するXEEを
許可します。この脆弱性は、共有ホスティング環境のような、信頼できない
ソースコードのWebアプリケーションをTomcat上で実行しているときのみ
起こりえます。

回避策:
下記の回避策をお取りください:
– Apache Tomcat 6.0.39 以降にアップグレードする。
6.0.38はFIXが含まれていますが、リリースされていません。
– Apache Tomcat 7.0.50 以降にアップグレードする。
7.0.48 から 7.0.49 はFIXが含まれていますが、リリースされていません。

クレジット:
本問題はApache Tomcatセキュリティチームによって認識されました。

参考情報:
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html

当社の今後の対応について:
次期リリース rel-1.4 は Tomcat 7.0.52 以降を同梱する予定です。
rel-0.x シリーズをご利用のお客様におかれましては、本問題について
ご判断いただき、必要であればTomcatの適切なバージョンに置き換えていただく等の
対応をお願いいたします。

以上、今後ともよろしくお願い申し上げます。

▲ ページの先頭に戻る

ピックアップ

お問い合わせ

 

PAGE TOP
HOME
Apache Solr, Lucene, Hadoop, Mahout, Spark, ManifoldCF, UIMA and their logos are trademarks of the Apache Software Foundation.
Copyright © 2006-2017 RONDHUIT Co, Ltd. All Rights Reserved.