INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:CVE-2011-2526 Apache Tomcat Information disclosure and availability vulnerabilities

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
  • rel-0.5.3 (Tomcat 6.0.32)
  • rel-0.6.3 (Tomcat 6.0.32)
  • rel-0.7.2 (Tomcat 6.0.32)


○ CVE-2011-2526 Apache Tomcat Information disclosure and availability vulnerabilities
重要度:低

TomcatはHTTP NIOおよびHTTP APRコネクターでsendfileをサポートしています。sendfileはDefaultServletがサービスしているコンテンツやデプロイされているWebアプリケーションが属性値を設定するときに自動的に使われることがあります。

セキュリティマネージャの管理下で実行しているとき、この妥当性検証の欠如は悪意のあるWebアプリケーションが通常セキュリティマネージャが実行を阻むことができる以下の項目を通してしまいます:

  • アクセス不可なファイルをユーザに返す
  • JVMをクラッシュさせる


回避策:
  • 信頼できないWebアプリケーションを削除する
  • HTTP BIOを使う(sendfileをサポートしていない)
  • コネクターにてuseSendfile=”false”を設定する
  • 下記「参考情報」のページにあるパッチを適用する
  • 6.0.33以降のTomcatを利用する


サンプル:
Exposing the first 1000 bytes of /etc/passwd
HttpServletRequest.setAttribute(
        "org.apache.tomcat.sendfile.filename","/etc/passwd");
HttpServletRequest.setAttribute(
        "org.apache.tomcat.sendfile.start",Long.valueOf(0));
HttpServletRequest.setAttribute(
        "org.apache.tomcat.sendfile.end",Long.valueOf(1000));

ファイルの終了後にエンドポイントを記述するとHTTP APRコネクターではJVMをクラッシュ させることになり、HTTP NIOコネクターでは無限ループを引き起こします。

クレジット:
この問題は、Tomcatセキュリティチームによって発見されました。

参考情報:


当社の今後の対応について:
今回発表されたセキュリティ警告についてはTomcat 6.0.33にて改修されます。それ以前のバージョンでは対応が簡単な回避策が存在するため、今後の新規プラグインをリリースするときに6.0.33以降がリリースされていればそれらを同梱することといたします。

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。