お問い合わせ採用情報お客様ログイン

RONDHUIT

ニュースINFORMATION

ホーム > ニュース > [Solrプラグイン] セキュリティ警告:PingRequestHandlerのStackOverFlowError

[Solrプラグイン] セキュリティ警告:PingRequestHandlerのStackOverFlowError

2011.07.02
お客様各位

平素はお引き立てを賜り、ありがとうございます。

Solr本体にセキュリティ上の脆弱性が確認されましたのでお知らせします。

対象Solrプラグインリリース:
すべてのバージョン

solrconfig.xmlにPingRequestHandlerが指定されているとき:

<requestHandler name="/admin/ping" class="PingRequestHandler">
  <lst name="defaults">
    <str name="qt">standard</str>
    <str name="q">solrpingquery</str>
  </lst>
</requestHandler>
qtパラメータに/admin/pingが指定されると無限ループに陥り、StackOverFlowErrorが発生する。

回避策:
  • PingRequestHandlerをsolrconfig.xmlに登録しない
  • qtパラメータをinvariantsに指定する
    <requestHandler name="/admin/ping" class="PingRequestHandler">
      <lst name="invariants">
        <str name="qt">standard</str>
      </lst>
    </requestHandler>
    
  • SOLR-2631のパッチを適用する


当社の今後の対応について:
上記回避策「PingRequestHandlerをsolrconfig.xmlに登録しない」または「qtパラメータをinvariantsに指定する」をお奨めします。なお、次期リリース0.8は本脆弱性に対する修正が含まれ、回避策の必要はありません。

以上、今後ともよろしくお願い申し上げます。

▲ ページの先頭に戻る

ピックアップ

お問い合わせ

 

PAGE TOP
HOME
Apache Solr, Lucene, Hadoop, Mahout, Spark, ManifoldCF, UIMA and their logos are trademarks of the Apache Software Foundation.
Copyright © 2006-2017 RONDHUIT Co, Ltd. All Rights Reserved.