INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:Apache Tomcat and the hashtable collision DoS vulnerability

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
すべて

内容:
最近発表されたJavaのハッシュテーブルの実装を要因とする脆弱性の記事[1]をすでにご覧になっているかもしれません。Apache TomcatはHTTPリクエストパラメータを保持するためにハッシュテーブルを使用しているため、この脆弱性に該当いたします。

記事[1]によれば、オラクル社はこの脆弱性の対応をJREで行わないとのことです。

Tomcatはこの問題に対する回避策を、単一リクエストにおける処理可能なパラメータ数の上限を設定するために用意された新しいパラメータ(maxParameterCount)をすでに提供しています。このデフォルト値は10000です。この数値はどんなアプリケーションにおいても十分大きく、また、DoS攻撃への効果を軽減するのにも十分小さい値といえます。

本回避策は以下のバージョンで利用可能です:

  • trunk
  • 7.0.23 以前
  • 6.0.35 以前


また、5.5系は5.5.35がリリースされたら、こちらでも利用可能です。

maxParameterCountパラメータを持たない以前のApache Tomcatを利用している場合は、maxPostSizeパラメータを数十kBに限定することでこの問題を軽減することができるでしょう。

本件はApache Tomcatの脆弱性としては表出しませんが、アプリケーションがこの問題で影響を受ける可能性があるため、ユーザに回避策をお知らせするため、Apache Tomcatセキュリティチームは今回アナウンスを行いました。

Apache Tomcatセキュリティチーム

[1] http://www.nruns.com/_downloads/advisory28122011.pdf

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。