INFORMATION
サブスクリプション

セキュリティ警告:CVE-2017-5637: DOS attack on wchp/wchc four letter words (4lw)

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。



—–

○ CVE-2017-5637: DOS attack on wchp/wchc four letter words (4lw)

重要度:中

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 4.1.0 から 6.5.1(ZooKeeper 3.4.0 to 3.4.9
  • 弊社サブスクリプション 1.0.0 から 3.0.1
  • サポート切れの ZooKeeper 1.x から 3.3.x も同様に影響する可能性があります。

説明:

2つの4文字単語コマンド“wchp/wchc”は CPU を過剰に消費するため、ZooKeeper サーバーで乱用すると、 CPU 使用率が跳ね上がる可能性があります。これにより、クライアントからの他の合法的なリクエストを 捌けなくなる場合があります。この脆弱性を悪用する既知のセキュリティ侵害はありません。

回避策:

本件は ZooKeeper アンサンブルのクライアントポートが公開されているときに影響を受けますので、 ファイヤーウォールで ZooKeeper アンサンブルを保護することをお勧めします。 これについて明記するよう、ドキュメントはすでに更新されています。さらに、デフォルトで “wchp/wchc”コマンドを使用不可とするパッチ (ZOOKEEPER-2693) も提供されています。

  • Apache Solr 4.1.0 から 6.5.1 ユーザーは 6.6.1/7.0.1 へアップグレードしてください。
  • 弊社サブスクリプション 1.0.0 から 3.0.1 ユーザーは 3.3.1 へアップグレードしてください。
  • ZooKeeper 3.4.x ユーザーは 3.4.10 へアップグレードするか、パッチを適用してください。

参考情報:
https://issues.apache.org/jira/browse/ZOOKEEPER-2693

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。(インシデント消化なしで本件のお問い合わせに対応いたします)

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。