お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2017-12629: Please secure your Apache Solr servers since a zero-day exploit has been reported on a public mailing list

Apache Solr ユーザーの皆様、

ゼロデイ・エクスプロイト（zero-day exploit）がメーリングリスト[1]に報告されましたので、Solr サーバーをセキュアに保つようお願いします。本件は公開CVE（CVE-2017-12629）にアサインされ、今後の解決や回避手順を示す際に参照されます。

現在対処可能でお勧めの方法を以下に示します：

• フィックスが利用可能になるまで、システムパラメータ `-Ddisable.configEdit=true`を付加してSolrを起動し直してください。これはコンフィグAPIを経由して設定情報を変更するのを許可しないようにする設定です。これは本件脆弱性について、重要なファクターになります。なぜなら、GETリクエストでRunExecutableListenerを設定に追加できてしまうためです。これはこの種の攻撃からSolrを保護するのに十分ですが、後述のフィックスが利用可能になるまで、コンフィグAPIを利用できなくなることも意味しています。
• ちょうど新しい Lucene/Solr のリリースの投票が始まっていたところですが、7.1リリースにて本脆弱性に対応するため、リリースの投票を取りやめました。また、まだ 6.x をお使いのユーザーのため、回避手順を含む 6.6.2 をリリースいたします。
• RunExecutableListener は 7.1 で削除されます。これは以前の Solr リリースでインデックスレプリケーションのために使われていましたが、現在ではリプレースされ、既に不要なものとなっています。
• XML パーサーはフィックスされ、そのフィックスは 7.1 リリースに含まれます。
• リリース 7.1 ではすでに`stream.body`パラメータをデフォルトで使用不可にする変更が含まれております。これにより、システムはさらに保護されることになります。

ありがとうございました。

Apache Lucene/Solr チームより

[1] : https://s.apache.org/FJDl

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。(インシデント消化なしで本件のお問い合わせに対応いたします)

以上、今後ともよろしくお願い申し上げます。

Tweet