INFORMATION
サブスクリプション

セキュリティ警告:CVE-2017-3164: Apache Solr: SSRF issue

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2017-3164: Apache Solr: SSRF issue

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 1.3 から 7.6.0(弊社サブスクリプション 0.8.5 から 4.0.0)

説明:

検索を実施するシャードを指定する際に指定する shard パラメータは、通信対象のホワイトリストを設定することができないため、どのようなURLにでもリクエストを送信することができてしまいます。

回避策:

この問題に対応した Solr 7.7.0以降のバージョンにアップグレードしてください。

もしアップグレードが難しいのであれば、Solrが稼働しているホストに対して、信頼できる入出力トラフィックのみが許容されているか、ネットワークの設定をご確認ください。

なお、shardをご利用されていても、SolrCloudの場合は影響はありません。

クレジット:

本問題は Chaitin Tech 社の dk 氏により発見されました。

参考情報:

[1]https://issues.apache.org/jira/browse/SOLR-12770
[2]https://wiki.apache.org/solr/SolrSecurity

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。