INFORMATION
サブスクリプション

セキュリティ警告:CVE-2019-0192 Deserialization of untrusted data via jmx.serviceUrl in Apache Solr

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。



—–

○ CVE-2019-0192 Deserialization of untrusted data via jmx.serviceUrl in Apache Solr

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 5.0.0 から 5.5.5(弊社サブスクリプション 2.0.0 から 2.2.0)
  • Apache Solr 6.0.0 から 6.6.5(弊社サブスクリプション 2.3.0 から 3.1.2)

説明:

Config API により HTTP POST リクエストを経由して Solr の JMX サーバーを設定可能です。 悪意のある RMI サーバーへそれをポイントすることで、攻撃者は Solr 側にてリモートコード 実行を可能にするために Solr の危険なデシリアライズを利用できてしまいます。

回避策:

以下のいずれかの方策をとっていただければ、この脆弱性への対応としては十分です。

  • Apache Solr 7.0(弊社サブスクリプション 3.2.0)以降へのアップグレード。
  • Config API を利用していない場合、システムプロパティ disable.configEdit=true をつけて Solr を起動することで Config API を使用不能にする。
  • 上記が不可能な場合、下記 [1] のパッチを適用して Solr をリコンパイルする。
  • Solr が起動しているホストに信頼のおけるトラフィックのみが出入りするように、ネットワーク設定を行う。

クレジット:

Michael Stepankin

参考情報:

[1] https://issues.apache.org/jira/browse/SOLR-13301

[2] https://wiki.apache.org/solr/SolrSecurity

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。