INFORMATION
サブスクリプション

セキュリティ警告(続報):CVE-2017-12629: Several critical vulnerabilities discovered in Apache Solr (XXE & RCE)

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。



—–

○ CVE-2017-12629: Several critical vulnerabilities discovered in Apache Solr (XXE & RCE)

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 5.5.0 から 5.5.4(弊社サブスクリプション 2.1.0 から 2.2.0)
  • Apache Solr 6.0.0 から 6.6.1(弊社サブスクリプション 2.3.0 から 3.1.1)
  • Apache Solr 7.0.0 から 7.0.1(弊社サブスクリプションに該当はありません)

説明:

この脆弱性の詳細は、公開メーリングリストに報告されました。こちらをご参照ください。 https://s.apache.org/FJDl

最初の脆弱性は、デフォルトで有効になっている、XML Query ParserにおけるXML外部実体参照に関するものです。XML Query Parser は defType=xmlparserパラメータを通じて使用できます。この機能が /upload リクエストハンドラーにて悪意のあるデータをアップロードするのに使えてしまいます。さらに、FTP ラッパーを使って、この機能をブラインドXXEとして Solr サーバーから任意のローカルファイルを読むために利用できてしまいます。

二番目の脆弱性は、RunExecutableListener を使った遠隔コード実行に関するものです。

前述の報告時点で、稼働中の上記バージョンの Solr が影響を受けるゼロ・デイ脆弱性となりました。しかしながら、同日に Solr ユーザーを保護するための回避策をアナウンスしました。

アナウンスはこちらをご参照ください。
https://lucene.apache.org/solr/news.html#12-october-2017-please-secure-your-apache-solr-servers-since-a-zero-day-exploit-has-been-reported-on-a-public-mailing-list

参考:日本語訳
https://www.rondhuit.com/cve-2017-12629-please-secure-apache-solr-servers-since-zero-day-exploit-reported-public-mailing-l.html

回避策:

  • ユーザーは Solr 6.6.2 または Solr 7.1.0 にアップグレードすることをお勧めします。 アップグレードをすることにより、それ以上の対策は不要です。
  • Solr 6.6.2 または Solr 7.1.0 にアップグレードすることができないユーザーには、システムパラメーター `-Ddisable.configEdit=true` を付与して Solr を再起動することをお勧めします。これはコンフィグ API を経由して設定情報を変更するのを許可しないようにする設定です。これは本件脆弱性について、重要なファクターになります。 なぜなら、GET リクエストで RunExecutableListener を設定に追加できてしまうためです。さらに、XXE 脆弱性を回避するために、XML Query Parser を他のパーサーに再マップすることをお勧めします。たとえば、xmlparser を edismax パーサーに再マップする以下の設定を solrconfig.xml に記述します:
    queryParser name=”xmlparser” class=”solr.ExtendedDismaxQParserPlugin”/

クレジット:

Michael Stepankin (JPMorgan Chase)
Olga Barinova (Gotham Digital Science)

参考情報:
https://issues.apache.org/jira/browse/SOLR-11482
https://issues.apache.org/jira/browse/SOLR-11477
https://wiki.apache.org/solr/SolrSecurity

Lucene PMC より。

—–

サポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。サブスクリプションについては、Solr 6.6.2 を含み、必要な対策を施したサブスクリプションのリリースを計画中であり、リリース次第、お知らせいたします。

サポート又はサブスクリプションご契約中のお客様は、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

情報検索の基礎からクラウド型企業向け検索エンジンの導入手順、ユーザー事例まで解説!