INFORMATION
テクノロジ

セキュリティ警告:Apache Solr RCE vulnerability due to bad config default

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、Solr Mailing list に投稿されたセキュリティ関連の勧告についてお知らせいたします。

—–

重要度:高

影響するバージョン:

  • Linux プラットフォームの 8.1.1 および 8.2.0(弊社サブスクリプション:無し)

説明:

Solr の 8.1.1 および 8.2.0 の solr.in.sh ファイルにおいて、デフォルトで ENABLE_REMOTE_JMX_OPTS オプションが不適切な状態でリリースされていることが判明しました。[1][3]
Windows の上で Solr を利用していたり、solr.in.sh をカスタマイズしている場合には、影響を受けません。

RMI_PORT で設定されているポートがインバウンド通信を受け入れてしまう場合、 Solr ノードへのアクセス、および JMX へのアクセスが可能になります。
この場合、 Solr サーバーにアップロードされた悪意あるコードが実行可能になる恐れがあります。 (Remote Code Exection)

この脆弱性は、2019年8月14日に JIRA のチケット[1]として公開され、 回避策もメーリングリスト[3]や、ニュースページ[2] にて公開されています。
しかし、リモートコード実行 (RCE) の可能性については言及していませんでした。

回避策:

  • solr.in.sh 内の ENABLE_REMOTE_JMX_OPTS を false に指定し、Solr を再起動してください。
    再起動後、 “com.sun.management.jmxremote” に関係するプロパティが、Solr 管理画面の “Java Properties” に、存在しないことを確認してください。

  • あるいは、Solr 8.3.0 へアップグレードを行なってください。

  • Solr ノードを、敵意あるネットワーク環境に直接公開しないように心がけてください。

クレジット:

この問題は、 Matei “Mal” Badanoiu と Solr JIRA ユーザーである ‘jnyryan’ (John) によって発見されました。

参考情報:

[1]https://issues.apache.org/jira/browse/SOLR-13647
[2]https://lucene.apache.org/solr/news.html
[3][ANNOUNCE] 8.1.1 and 8.2.0 users check ENABLE_REMOTE_JMX_OPTS setting
[4]セキュリティ警告:8.1.1 and 8.2.0 users check ENABLE_REMOTE_JMX_OPTS setting

—–

サポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。