INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:CVE-2014-0096 Apache Tomcat information disclosure

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象のTomcatリリース:
  • Apache Tomcat 8.0.0-RC1 to 8.0.3
  • Apache Tomcat 7.0.0 to 7.0.52
  • Apache Tomcat 6.0.0 to 6.0.39

対象 Solr プラグインリリース:
  • rel-1.x (Tomcat 7)
  • rel-0.x (Tomcat 6)

○ CVE-2014-0096 Information Disclosure
重要度:重要

デフォルトのサーブレットではWebアプリケーションは(多レベルで)ディレクトリ
一覧をフォーマットするためのXSLTを定義できます。セキュリティマネージャの下で
実行しているとき、これらはWebアプリケーションとは異なるサブジェクトで
実行されてしまいます。これにより悪意のあるWebアプリケーションは外部のXML
エンティティを利用してセキュリティマネージャによる制限を適用することで
通常のファイルアクセス制限をバイパスできてしまいます。

回避策:
下記の回避策をお取りください:
– Apache Tomcat 8.0.5 以降にアップグレードする
(8.0.4は改修されていますがリリースされていません)
– Apache Tomcat 7.0.53 以降にアップグレードする
– Apache Tomcat 6.0.41 以降にアップグレードする
(6.0.40は改修されていますがリリースされていません)

クレジット:
本問題はTomcatセキュリティチームにより確認されました。

参考情報:
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html

当社の今後の対応について:
次回リリース時に Tomcat 7.0.53 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。