INFORMATION
サブスクリプション

セキュリティ警告:CVE-2017-9803: Security vulnerability in kerberos delegation token functionality

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。



—–

○ CVE-2017-9803: Security vulnerability in kerberos delegation token functionality

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 6.2.0 から 6.6.0
  • 弊社サブスクリプション 2.3.0 から 3.1.0

説明:

Solr の Kerberos プラグインはトークンを委譲するのに設定できます。これにより、アプリケーションが エンドユーザまたは他のアプリケーションの認証を再利用できるようにします。この機能には2つの 問題があります(ACLプロバイダーの SecurityAwareZkACLProvider 型、たとえば SaslZkACLProvider などを使っているとき)。 1つめは、セキュリティ設定へのアクセスが Solr のスーパーユーザ以外の他のユーザでも できてしまうこと。2つめは、Solr クラスター内で、プライベートなデータをさらしたり変更する、 あるいは、操作を混乱させるために、悪意のあるユーザがこの漏洩した設定情報を特権エスカレーションの ために不正に利用することができてしまうことです。 この脆弱性は、Solr 6.6.1 にて解決されました。

回避策:

  • 6.x ユーザーは 6.6.1 にアップグレードしてください。
  • 弊社サブスクリプション 2.3.0 から 3.1.0 にて Kerberos プラグインをお使いのユーザーは 次期バージョンリリース後にアップグレードをご検討ください。

クレジット:

本問題は Cloudera 社の Hrishikesh Gadre 氏により発見されました。

参考情報:
https://issues.apache.org/jira/browse/SOLR-11184
https://wiki.apache.org/solr/SolrSecurity

Lucene PMC より。

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

情報検索の基礎からクラウド型企業向け検索エンジンの導入手順、ユーザー事例まで解説!