INFORMATION
テクノロジ

セキュリティ警告:Apache Solr RCE through VelocityResponseWriter

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、Solr Mailing list に投稿されたセキュリティ関連の勧告についてお知らせいたします。

—–

重要度:高

影響するバージョン:

  • 5.0.0 から 8.3.1(弊社サブスクリプション: 2.0.0 から 4.1.0)

説明:

Apache Solr 5.0.0 から 8.3.1 までの対象バージョンにて、 VelocityResponseWriterを使った遠隔コード実行(Remote Code Execution)に対する脆弱性が見つかりました。

Velocity template は、velocity ディレクトリの中もしくはパラメータとして提供されます。
ユーザー定義のconfigset には、レンダリング可能な、悪意のあるテンプレートが含まれている可能性があります。

デフォルトでは、パラメータが提供するテンプレートは無効になっています。
しかし、solrconfig.xml 内の `params.resource.loader.enabled`をtrueにすることで、有効になります。
無効であることを確認してください。
リスポンスライターを定義するには、Config APIから行えます。

Solr 8.4 にて、パラメータによるリソースローダを廃止します。
認証済みのユーザーによってアップロードされたコンフィグセットによって提供されるテンプレートのみ有効になります。

回避策:

  • Solr ノードを、敵意あるネットワーク環境に直接公開しないように心がけてください。

  • あるいは、Solr 8.4.0 へアップグレードを行なってください。

クレジット:

この問題は、 Github user `s00py` によって報告されました。

参考情報:

[1]https://cwiki.apache.org/confluence/display/solr/SolrSecurity
[2]https://issues.apache.org/jira/browse/SOLR-13971
[3]https://issues.apache.org/jira/browse/SOLR-14025

—–

サポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。