INFORMATION
サービス

セキュリティ警告:Recommendation to update Commons Collections in Apache ManifoldCF 1.x and 2.x installations

お客様各位

平素はお引き立てを賜り、ありがとうございます。
弊社 Apache ManifoldCF のサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

Apache ManifoldCF 1.x, 2.x にバンドルされる Apache Commons Collections 3.2.1 には下記に該当する脆弱性があります:

= CWE-502: Deserialization of Untrusted Data =

デシリアライズ時に、信頼できないデータをデシリアライズし、任意のコードを実行される脆弱性があります。


既存の ManifoldCF(1.x,2.x) にパッチを適用する場合は、以下の手順で該当の JAR ファイルを入れ替えてください。


1) JAR ファイルの入手
http://commons.apache.org/proper/commons-collections/download_collections.cgi より commons-collections-3.2.2.jar を入手します。

2) JAR ファイルの置き換え

$ cp commons-collections-3.2.2.jar {MCFインストールディレクトリ}/lib
$ rm {MCFインストールディレクトリ}/lib/commons-collections-3.2.1.jar

3) env ファイルの書き換え
※ Windows環境であれば、拡張子が win であるもの、Unix,Linux環境では unix であるものを書き換えれば問題ありません。

{MCFインストールディレクトリ}/lib/start-options.env.xxx
...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;...

{MCFインストールディレクトリ}/lib/combined-options.env.xxx
...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;...

{MCFインストールディレクトリ}/script-engine/options.env.xxx
...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;...



上記手順後、ManifoldCF を再起動してください。

尚、弊社にて、以下のリポジトリに対して正しく動作することを確認しております。

  • FileSystem
  • Web
  • SharePoint
  • Windows Shares

  • これら以外のリポジトリをお使いのお客様は弊社までお問い合わせ下さい。

    以上、今後ともよろしくお願い申し上げます。


    トレーニングコース

    ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
    監修のもと開発されたハンズオン(実習)形式のコースです。

    セミナー

    ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。