お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2017-3164: Apache Solr: SSRF issue

重要度：重要

ベンダー：The Apache Software Foundation

影響するバージョン：

• Apache Solr 1.3 から 7.6.0（弊社サブスクリプション 0.8.5 から 4.0.0）

説明：

検索を実施するシャードを指定する際に指定する shard パラメータは、通信対象のホワイトリストを設定することができないため、どのようなURLにでもリクエストを送信することができてしまいます。

回避策：

この問題に対応した　Solr 7.7.0以降のバージョンにアップグレードしてください。

もしアップグレードが難しいのであれば、Solrが稼働しているホストに対して、信頼できる入出力トラフィックのみが許容されているか、ネットワークの設定をご確認ください。

なお、shardをご利用されていても、SolrCloudの場合は影響はありません。

クレジット：

本問題は Chaitin Tech 社の dk 氏により発見されました。

参考情報：

[1]https://issues.apache.org/jira/browse/SOLR-12770
[2]https://wiki.apache.org/solr/SolrSecurity

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。