INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:CVE-2012-3546 Apache Tomcat Bypass of security constraints

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
  • rel-0.8.5 (Tomcat 6.0.35)
  • rel-0.9.0 (Tomcat 6.0.35)
  • rel-0.10.1(Tomcat 6.0.35)

○ CVE-2012-3546 Apache Tomcat Bypass of security constraints
重要度:高

FORM認証を使用しているとき、もしいくつかの他のコンポーネント(シングル
サインオン値のような)がFormAuthenticator#authenticate()を呼ぶ前に
request.setUserPrincipal()を呼んでいると、FORM認証(authenticator)の
URLのうしろに”/j_security_check”を付加することでセキュリティ制約を
回避することができてしまう可能性があります。

回避策:
下記の回避策をお取りください:
– Tomcat 7.0.x ユーザーは 7.0.30 以降にアップグレードする
– Tomcat 6.0.x ユーザーは 6.0.36 以降にアップグレードする

クレジット:
本問題は Tomcat セキュリティチームによって発見されました。

参考情報:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html

当社の今後の対応について:
次回リリース時に Tomcat 6.0.36 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。

以上、今後ともよろしくお願い申し上げます。

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!