INFORMATION
サブスクリプション

セキュリティ警告:CVE-2017-7660: Security Vulnerability in secure inter-node communication in Apache Solr

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。



—–

○ CVE-2017-7660: Security Vulnerability in secure inter-node communication in Apache Solr

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Solr 5.3 から 5.5.4
  • Solr 6.0 から 6.5.1
  • 弊社サブスクリプション 2.1.0 から 3.0.1

説明:

Solr はセキュリティ設定を有効にしているとき、ノード間コミュニケーションをセキュアにする ために PKI ベースのメカニズムを使用しています。クラスターに存在しない、特別に技巧された ノード名を作成することが出来、それが悪意あるノードを指すことが可能です。これにより、 クラスター内のノードが、その悪意あるノードがクラスターメンバーであると信用させてしまう ことができます。したがって、BasicAuthPlugin を使って BasicAuth 認証を有効にしている、 もしくは、カスタムの認証プラグインを実装している Solr ユーザで “HttpClientInterceptorPlugin” または “HttpClientBuilderPlugin” を実装していない場合は、そのサーバーはこの攻撃に 対して脆弱性があります。基本認証なしで SSL のみを使用しているユーザーまたは Kerberos を 使っているユーザーは該当しません。

回避策:

  • 6.x ユーザーは 6.6 にアップグレードしてください。
  • 5.x ユーザーは最新のソースコードを git より取得して、以下のパッチを適用してください。
    http://git-wip-us.apache.org/repos/asf/lucene-solr/commit/2f5ecbcf
  • 弊社サブスクリプション 2.1.0 から 3.0.1 ユーザーは 3.1.0 にアップグレードしてください。

クレジット:

本問題は Lucidworks 社の Noble Paul 氏により発見されました。

参考情報:
https://issues.apache.org/jira/browse/SOLR-10624
https://wiki.apache.org/solr/SolrSecurity

Lucene PMC より。

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

以上、今後ともよろしくお願い申し上げます。


KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!