お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象 Solr プラグインリリース：

• rel-0.x （Apache Tomcat 6.0.0 to 6.0.37）
• rel-1.x （Apache Tomcat 7.0.0 to 7.0.47）

○ CVE-2013-4322 Incomplete fix for CVE-2012-3544 (Denial of Service)
重要度：重要

CVE-2012-3544の修正は完了していませんでした。以下のケースが考慮されていません。
a) チャンク拡張が無制限
b) trailingヘッダー内のコロン(:)のあとのホワイトスペースが無制限

回避策：
下記の回避策をお取りください：
– Apache Tomcat 6.0.39 以降にアップグレードする。
6.0.38はFIXが含まれていますが、リリースされていません。
– Apache Tomcat 7.0.50 以降にアップグレードする。
7.0.48 から 7.0.49 はFIXが含まれていますが、リリースされていません。

クレジット：
本問題は部分的にApache Tomcatセキュリティチームと
TELUSセキュリティ研究所のSaran Netiによって認識されました。

参考情報：
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html

当社の今後の対応について：
次期リリース rel-1.4 は Tomcat 7.0.52 以降を同梱する予定です。
rel-0.x シリーズをご利用のお客様におかれましては、本問題について
ご判断いただき、必要であればTomcatの適切なバージョンに置き換えていただく等の
対応をお願いいたします。

以上、今後ともよろしくお願い申し上げます。