お問い合わせ採用情報お客様ログイン

RONDHUIT

ニュースINFORMATION

ホーム > ニュース > [Solrプラグイン] セキュリティ警告:CVE-2014-7810: Apache Tomcat Security Manager Bypass

[Solrプラグイン] セキュリティ警告:CVE-2014-7810: Apache Tomcat Security Manager Bypass

2015.05.15
お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象のTomcatリリース:
  • Apache Tomcat 8.0.0-RC1 to 8.0.15
  • Apache Tomcat 7.0.0 to 7.0.57
  • Apache Tomcat 6.0.0 to 6.0.43

対象 Solr プラグインリリース:
  • rel-1.x (Tomcat 7)
  • rel-0.x (Tomcat 6)

○ CVE-2014-7810: Apache Tomcat Security Manager Bypass
重要度:中程度

悪意のあるWebアプリケーションはセキュリティマネージャのプロテクションを
バイパスするために、特権コードセクション中で評価される表現として表現言語を
使うことができてしまいます。
この問題は信頼できないソースからインストールされたWebアプリケーションを
実行している場合にのみ影響があります。

回避策:
下記の回避策をお取りください:
– Apache Tomcat 8.0.17 以降にアップグレードする
(8.0.16は改修されていますがリリースされていません)
– Apache Tomcat 7.0.59 以降にアップグレードする
(7.0.58 は改修されていますがリリースされていません)
– Apache Tomcat 6.0.44 以降にアップグレードする

クレジット:
本問題はApache Tomcatセキュリティチームによって発見されました。

参考情報:
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html

当社の今後の対応について:
弊社がリリースしておりますWebアプリケーション(Solrサブスクリプション)は
本件に該当しないため、特に対応はいたしません。

以上、今後ともよろしくお願い申し上げます。

▲ ページの先頭に戻る

ピックアップ

お問い合わせ

 

PAGE TOP
HOME
Apache Solr, Lucene, Hadoop, Mahout, Spark, ManifoldCF, UIMA and their logos are trademarks of the Apache Software Foundation.
Copyright © 2006-2017 RONDHUIT Co, Ltd. All Rights Reserved.