INFORMATION
サブスクリプション

セキュリティ警告:CVE-2019-0193: Apache Solr, Remote Code Execution via DataImportHandler

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2019-0193: Apache Solr, Remote Code Execution via DataImportHandler

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 8.1.1 以前(弊社サブスクリプション 0.8.5 から 4.1.0)

説明:

データインポートハンドラ(DIH)はSolrのオプションとして提供されているデータベースやその他のデータソースからデータを取り込むための一般的な機能です。
DIHの全ての設定は、リクエストのdataConfigパラメータで指定することができます。管理画面でのDIHのデバッグモードにおいて、DIHのコンフィグを容易に開発・デバッグできるようにするためにこの機能を利用しています。
DIHのコンフィグはスクリプト処理を含ませることができるため、このパラメータはセキュリティ上のリスクになります。

Solr 8.2.0以降では、このパラメータは”enable.dih.dataConfigParam”というJavaのシステムプロパティにtrueを指定しなければ利用できないようになりました。

回避策:

  • デフォルトで安全なSolr 8.2.0以上にアップグレードしてください。

  • もしくは、全てのDataImportHandlerのクエリオプションとしてdataConfigパラメータに空文字列が指定されるように、solrconfig.xmlのリクエストハンドラのinvariantsセクションを変更してください。

  • Solr(特にDIHリクエストハンドラ)への通信が信頼できるトラフィックのみになるように、ネットワーク設定が構成されていることを確認してください。
    これはあらゆるSolrにおけるベストプラクティスです。

クレジット:

この問題は、Michael Stepankin (JPMorgan Chase) によって発見されました。

参考情報:

[1]https://issues.apache.org/jira/browse/SOLR-13669
[2]https://cwiki.apache.org/confluence/display/solr/SolrSecurity

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。