INFORMATION
サブスクリプション

セキュリティ警告:CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、3/20 に Apache POI コミュニティにてアナウンスされましたセキュリティ関連の勧告についてお知らせいたします。

■ 対象のApache Solrのバージョン
全て

■ 脆弱性の内容

以下、 Apache POI コミュニティからの勧告(翻訳)

= CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15  =
対象リリースバージョン: 3.15より前の全てのバージョン
種類: サービス拒否
説明:
3.15 より前のバージョンの Apache POI は遠隔地の攻撃者により細工された OOXML ファイルでXML Entity Expantion(XEE) が引き起こされることによる DoS 攻撃で大量のCPUリソースが消費される可能性があります。
Apache POI を利用しており、外部や信頼できないソースからドキュメントを受け取っているシステムをお持ちの場合には、Apache POI 3.15 以降のバージョンへのアップグレードを推奨します。


■ Apache Solr 利用者への影響
“contrib/extraction”フォルダ配下の”Apache Solr Content Extraction Library(Solr Cell)”モジュールを有効にしているSolr利用者はこれらの問題に該当します。

Apache Solr利用者でPOIの機能を使っていない場合は無効化することをお勧めします。
また、ご利用されている場合には、OOXMLデータ(docx, xlsx, pptxなど)の取り込み元の見直しをご検討ください。

なお、Apache Solr コミュニティにおいては、以下のチケットで上述の問題の発生しないApache POI 3.15 への更新作業を進めており、弊社社員もこのチケットへの作業を開始しております。
https://issues.apache.org/jira/browse/SOLR-9552

より詳しい状況がわかり次第、必要に応じて本件に対応したSolrを含むサブスクリプションをリリースいたします。

サポートサービスご加入のお客様は、上記手順を参考にして必要な対応を実施していただきますようお願いいたします。

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

情報検索の基礎からクラウド型企業向け検索エンジンの導入手順、ユーザー事例まで解説!