INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:CVE-2011-2204 Apache Tomcat information disclosure

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
  • rel-0.5.3 (Tomcat 6.0.32)
  • rel-0.6.3 (Tomcat 6.0.32)
  • rel-0.7.2 (Tomcat 6.0.32)


○ CVE-2011-2204 Apache Tomcat information disclosure
重要度:低

MemoryUserDatabase (tomcat-users.xmlベース)を使いJMX経由でユーザを作成したときユーザ作成中にもし例外が発生すると、JMXクライアントへのエラーメッセージ内にユーザの パスワード情報も含まれてしまいます。このエラーメッセージはTomcatのログにも書き込まれます。ユーザのパスワードはJMXアクセスおよびtomcat-users.xmlのリードアクセス権のある管理者に 見えてしまいます。また一般ユーザであっても、ログファイルのリードアクセスが可能な場合は、やはりユーザのパスワードが見えてしまいます。

Tomcat開発チームは、当該ソースコードを改変して意図的な例外を発生させないと、このエラーを再現させることができませんでした。理論的には、OutOfMemoryErrorの発生により、 この脆弱性が再現する可能性があります。

回避策: クレジット:
この問題は、Polina Genovaによって発見され、Tomcat開発チームにメール経由でプライベートに知らされました。

参考情報:


当社の今後の対応について:
今回発表されたセキュリティ警告についてはTomcat 6.0.33にて改修されます。再現する可能性が低いので、次期プラグインリリース0.8からTomcat 6.0.33を使用いたします。

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。