INFORMATION
サブスクリプション

セキュリティ警告:CVE-2018-8026: XXE vulnerability due to Apache Solr configset upload (exchange rate provider config / enum field config / TIKA parsecontext)

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。



—–

○ CVE-2018-8026: XXE vulnerability due to Apache Solr configset upload (exchange rate provider config / enum field config / TIKA parsecontext)

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 6.0.0 から 6.6.4(弊社サブスクリプション 2.3.0 から 3.1.2)
  • Apache Solr 7.0.0 から 7.3.1(弊社サブスクリプション 3.2.0)

説明:

この脆弱性についての詳細は Apache セキュリティのメーリングリストに報告されました。

この脆弱性は Solr の設定ファイル(schema.xml と TIKA の parsecontext 設定ファイルから参照される currency.xml と enumsConfig.xml)におけるXML外部実体参照(XXE)に関するものです。さらに、これらの設定ファイルで用意されている Xinclude 機能も同様の方法で影響を受けます。Solr サーバーまたは内部ネットワークから任意のローカルファイルを読むためにfile/ftp/http プロトコルを使うことでこの脆弱性をXXE として利用できてしまいます。操作されたファイルは Solr の API を通じてconfigsets としてアップロードでき、この脆弱性を不正に利用できてしまいます。詳しくは [1] をご覧ください。

回避策:

この問題に対応した Solr 6.6.5 または Solr 7.4.0 にアップグレードすることをおすすめします。 アップグレードをすれば、それ以上の操作は不要です。これらのリリースは、外部実体とXinclude が、(Solr の ResourceLoader を使って)Solrインスタンスディレクトリ以下のローカルファイル /ZooKeeperリソースだけを参照するようになります。絶対パスの URL は使えません。 なお、外部実体と Xinclude は複雑なインストレーションにおいて設定ファイルの構成を よりよく保つためにサポートされます。設定ファイルが API 経由でアクセスできない Solr 5.x 以前はこの問題は当てはまりません。

Solr 6.6.5 または Solr 7.4.0 にアップグレードできないユーザーは、本件脆弱性が 不当に利用されないよう、Solr インスタンスが公開のインターネットではなくローカルに 配置されていることを確認してください。さらに、エンドユーザーが設定ファイル API を 使えないように、リバースプロキシーは保護されるべきです。正しく Solr をセキュアに 保つために [2] をご覧ください。

Solr 5.x 以前のバージョンは設定を API 経由でアップロードできないのでこの脆弱性は ありません。しかしながら、ユーザーはこれらのバージョンを速やかにアップグレード するべきです。古い Web インタフェースのファイルアップロードの機能を使って設定を 注入する他の方法があるかもしれないためです。これらの以前のバージョンはメンテナンス 対象外であり深い分析はなされません。

参考情報:
[1]https://issues.apache.org/jira/browse/SOLR-12450
[2]https://wiki.apache.org/solr/SolrSecurity

クレジット:
Yuyang Xiao, Ishan Chattopadhyaya

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応した サブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで 本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。