INFORMATION
サブスクリプション

セキュリティ警告:CVE-2018-11802: Apache Solr authorization bug disclosure

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2018-11802: Apache Solr authorization bug disclosure

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 6.0.0 から 6.6.5(弊社サブスクリプション 2.3.0 から 3.1.3)
  •     
  • Apache Solr 7.0.0 から 7.6(弊社サブスクリプション 3.2.0 から 4.0.1)

説明:

Apache Solr のクラスターは複数のコレクションに分割でき、ノードの一部だけが与えられたコレクションを実際にホストします。しかし、ノードがホストしていないコレクションのためのリクエストを受信すと、ホストしているノードを代理して当該リクエストをサービスします。この場合、Solr はすべての権限設定をバイパスしてしまいます。これは上記バージョンの Solr にて、デフォルトの権限メカニズム(RuleBasedAuthorizationPlugin)を使用している場合に影響します。

回避策:

もし Solr の権限メカニズムを使用している場合は、この問題に対応した Solr 6.6.6または Solr 7.7 にアップグレードすることをおすすめします。

クレジット:

この問題は、Mahesh Kumar Vasanthu Somashekar によって発見されました。

参考情報:

[1]https://issues.apache.org/jira/browse/SOLR-12514
[2]https://wiki.apache.org/solr/SolrSecurity

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。