INFORMATION
テクノロジ

セキュリティ警告:8.1.1 and 8.2.0 users check ENABLE_REMOTE_JMX_OPTS setting

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、Solr Mailing listに投稿されたセキュリティ関連の勧告についてお知らせいたします。

—–

重要度:低

影響するバージョン:

  • Linuxプラットフォームの 8.1.1 および 8.2.0(弊社サブスクリプション:無し)

説明:

Solrの8.1.1および8.2.0のsolr.in.shファイルにおいて、デフォルトでENABLE_REMOTE_JMX_OPTSオプションが不適切な状態でリリースされていることが判明しました。[1]
Windowsの上でSolrを利用していたり、solr.in.shをカスタマイズしている場合には、影響を受けません。

もしデフォルトのsolr.in.shを利用しているのであれば、JMXモニタリングポート(デフォルトは18983、JMX_PORTオプションで指定)が何も認証がかけられていない状態で公開されています。
そのため、SolrノードのJMXモニタリングポートに対するインバウンドの通信をファイアウォールが許可している場合、あらゆるユーザーがJMXを利用してSolrノードのモニタリングデータを取得できてしまいます。

回避策:

  • solr.in.sh内のENABLE_REMOTE_JMX_OPTSをfalseに指定し、Solrを再起動してください。

  • あるいは、Solr 8.3.0リリースを待ってアップグレードを行なってください。

参考情報:

[1]https://issues.apache.org/jira/browse/SOLR-13647

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。