INFORMATION
ニュース
[Solrプラグイン] セキュリティ警告:CVE-2014-0033 Session fixation still possible with disableURLRewriting enabled
お客様各位
平素はお引き立てを賜り、ありがとうございます。
Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象 Solr プラグインリリース:
rel-1.x シリーズは Tomcat 7 であり、本件の対象ではありません。
○ CVE-2014-0033 Session fixation still possible with disableURLRewriting enabled
重要度:低
pathパラメータのハンドリングに関する前回の修正[1]は、disableURLRewriting
がtrueに設定されていたときでも、URL中にあるセッションIDが考慮されてしまう
というレグレッションを導入してしまいました。ただし、そのセッションは
当該単発リクエストにのみ使われます。
回避策:
下記の回避策をお取りください:
– Apache Tomcat 6.0.39 以降にアップグレードする。
6.0.38はFIXが含まれていますが、リリースされていません。
クレジット:
本問題はApache Tomcatセキュリティチームによって認識されました。
参考情報:
[1] http://svn.apache.org/viewvc?view=revision&revision=r1149220
[2] http://tomcat.apache.org/security-6.html
当社の今後の対応について:
rel-1.x シリーズは Tomcat 7 であり、本件の対象ではありません。
rel-0.x シリーズをご利用のお客様におかれましては、本問題について
ご判断いただき、必要であればTomcatの適切なバージョンに置き換えていただく等の
対応をお願いいたします。
以上、今後ともよろしくお願い申し上げます。
平素はお引き立てを賜り、ありがとうございます。
Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象 Solr プラグインリリース:
- rel-0.x (Apache Tomcat 6.0.33 to 6.0.37)
rel-1.x シリーズは Tomcat 7 であり、本件の対象ではありません。
○ CVE-2014-0033 Session fixation still possible with disableURLRewriting enabled
重要度:低
pathパラメータのハンドリングに関する前回の修正[1]は、disableURLRewriting
がtrueに設定されていたときでも、URL中にあるセッションIDが考慮されてしまう
というレグレッションを導入してしまいました。ただし、そのセッションは
当該単発リクエストにのみ使われます。
回避策:
下記の回避策をお取りください:
– Apache Tomcat 6.0.39 以降にアップグレードする。
6.0.38はFIXが含まれていますが、リリースされていません。
クレジット:
本問題はApache Tomcatセキュリティチームによって認識されました。
参考情報:
[1] http://svn.apache.org/viewvc?view=revision&revision=r1149220
[2] http://tomcat.apache.org/security-6.html
当社の今後の対応について:
rel-1.x シリーズは Tomcat 7 であり、本件の対象ではありません。
rel-0.x シリーズをご利用のお客様におかれましては、本問題について
ご判断いただき、必要であればTomcatの適切なバージョンに置き換えていただく等の
対応をお願いいたします。
以上、今後ともよろしくお願い申し上げます。
INFORMATION
KandaSearch
KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。
セミナー
企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!