INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:CVE-2012-2733 Apache Tomcat Denial of Service

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
  • rel-0.8.5 (Tomcat 6.0.35)
  • rel-0.9.0 (Tomcat 6.0.35)
  • rel-0.10.1(Tomcat 6.0.35)

○ CVE-2012-2733 Apache Tomcat Denial of Service
重要度:高

HTTP NIOコネクターのリクエストヘッダーサイズの許容上限のチェック処理が
リクエスト解析処理の中で行われていましたが、遅すぎました。これにより、
悪意のあるユーザーが非常に大きなヘッダーの単一リクエストを送ることで
OutOfMemoryErrorを生起させることができてしまいます。

回避策:
下記の回避策をお取りください:
– Tomcat 7.0.x ユーザーは 7.0.28 以降にアップグレードする
– Tomcat 6.0.x ユーザーは 6.0.36 以降にアップグレードする

クレジット:
本問題は Josh Spiewak によって発見されました。

参考情報:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html

当社の今後の対応について:
次回リリース時に Tomcat 6.0.36 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。