INFORMATION
サブスクリプション

セキュリティ警告:CVE-2019-12401: XML Bomb in Apache Solr versions prior to 5.0

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2019-12401: XML Bomb in Apache Solr versions prior to 5.0

重要度:中

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 1.3.0 から 1.4.1
  • Apache Solr 3.1.0 から 3.6.3 (弊社サブスクリプション 0.8.5 から 0.10.4)
  • Apache Solr 4.0.0 から 4.10.4(弊社サブスクリプション 1.0.0 から 1.5.0)

説明:

バージョン5.0.0 以前の Solr は、アップデートハンドラーを通して起こる XML リソース枯渇攻撃( Billion laughs 攻撃 ) に対する脆弱性があります。
XML DOCTYPE と ENTITY 要素を悪用し、攻撃者は、サーバーが XML をパースした際に拡張されるようなパターンを作成できます。 
これにより、メモリ不足を意図的に発生させることができてしまいます。

回避策:

  • Solr 5.0 以上(弊社サブスクリプション 2.0.0 以上)にアップグレードしてください。 

  • Solr が起動しているホストに信頼のおけるトラフィックのみがドキュメントを投稿するように、ネットワーク設定を行ってください。
    これはあらゆる Solr におけるベストプラクティスです。

クレジット:

この問題は、 Matei “Mal” Badanoiu によって発見されました。

参考情報:

[1]https://issues.apache.org/jira/browse/SOLR-13750
[2]https://cwiki.apache.org/confluence/display/solr/SolrSecurity

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。