INFORMATION
テクノロジ

セキュリティ警告:The checks added to unauthenticated configset uploads in Apache Solr can be circumvented

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、Solr Mailing list に投稿されたセキュリティ関連の勧告についてお知らせいたします。

—–

重要度:高

影響するバージョン:

  • Apache Solr 6.6.0 から 6.6.6 (弊社サブスクリプション: 3.1.0 から 3.1.3)
  • Apache Solr 7.0.0 から 7.7.3 (弊社サブスクリプション: 3.2.0 から 4.1.0)
  • Apache Solr 8.0.0 から 8.6.2 (弊社サブスクリプション: 4.2.0)

説明:

Solr は、いくつかの機能に対して設定ファイルをAPIを通じて認証・認可なしに、アップロードするのは、意図しないコードの実行(Remote Code Execution)に使われる恐れがあるため危険とみなし防止します。

このチェック機能は、UPLOAD や CREATE の組み合わせを使用することで正しく回避できます。

回避策:

以下の方法は、この脆弱性を回避するのに十分な対策になります。

  • システムプロパティのセッティングの際に使っていない場合、ConfigSets API の UPLOAD コマンドを無効化してください。[1]

  • 認証・認可(Authentication/Authorization)を使用し、不明なリクエストを許可しないよう確認してください。[2]

  • Solr 8.6.3 以降にアップグレードする。

    • アップグレードが難しい場合は、SOLR-14663のパッチをあてることを検討してください。[3]
  • SolrのAPIは、Admin UI を含め、敵意あるネットワーク環境に直接公開されることを想定していません。ファイヤーウォールなどを活用し、信頼のあるコンピュータとユーザーのみがアクセスできるように設定してください。

クレジット:

この問題は、 Tomás Fernández Löbbe, András Salamon によって報告されました。

参考:

—–

サポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。


トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。