INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:CVE-2011-3190 Apache Tomcat Authentication bypass and information disclosure

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
  • rel-0.5.3 (Tomcat 6.0.32)
  • rel-0.6.3 (Tomcat 6.0.32)
  • rel-0.7.2 (Tomcat 6.0.32)
  • rel-0.8.2 (Tomcat 6.0.33)


○ CVE-2011-3190 Apache Tomcat Authentication bypass and information disclosure
重要度:高

Apache Tomcatはリクエストやリクエストに関連するデータをリバースプロキシからTomcatに送信するために、リバースプロキシとともに使用されるAJPプロトコルをサポートしています。AJPプロトコルは、リクエストがリクエストボディを含んでいるとき、そのリクエストボディの冒頭(またはすべて)を含んでいる要求されていないAJPメッセージをTomcatに送信できるように設計されています。ある特定の状況では、Tomcatはこのメッセージをリクエストボディではなく新しいリクエストとして処理してしまいます。これにより、アタッカーに対しAJPメッセージを使ってフル・コントロールを許してしまい、とりわけ以下のようなことがアタッカーはできてしまいます:

  • 認証されたユーザ名を挿入する
  • 任意のクライアントIPアドレスを挿入する(クライアントIPアドレスによるフィルタリングが突破されてしまう)
  • ユーザ間の応答が混合する引き金となる


下記AJPコネクター実装は影響を受けません:

  • org.apache.jk.server.JkCoyoteHandler (5.5.x – default, 6.0.x – default)


下記AJPコネクター実装は影響を受けます:

  • org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x – default)
  • org.apache.coyote.ajp.AjpNioProtocol (7.0.x)
  • org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)


なお、本件は少なくともひとつのリソースに対し、下記のすべてが真のときにのみ当てはまります:

  • POSTリクエストが許可されている
  • リクエストボディが処理されない


例:
以下を参照のこと。
https://issues.apache.org/bugzilla/show_bug.cgi?id=51698

回避策:
ユーザは以下のどれかの緩和策を採用してください:
クレジット:
本件はApache Tomcatの公開バグ管理システムを通じてレポートされました。Apache Tomcatセキュリティチームは未公開の脆弱性が、公開チャネルを通じて報告されたことに対して大変遺憾に思います。すべてのApache Tomcat関連セキュリティ脆弱性は、セキュリティチームへのプライベートなメーリングリストである security at tomcat dot apache dot org を通じて行うよう、お願いいたします。

参考情報:


当社の今後の対応について:
今後の新規プラグインをリリースするときに本件の改修が含まれたバージョンがリリースされていればそれを同梱することといたします。


以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。