INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:PingRequestHandlerのStackOverFlowError

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Solr本体にセキュリティ上の脆弱性が確認されましたのでお知らせします。

対象Solrプラグインリリース:
すべてのバージョン

solrconfig.xmlにPingRequestHandlerが指定されているとき:

<requestHandler name="/admin/ping" class="PingRequestHandler">
  <lst name="defaults">
    <str name="qt">standard</str>
    <str name="q">solrpingquery</str>
  </lst>
</requestHandler>
qtパラメータに/admin/pingが指定されると無限ループに陥り、StackOverFlowErrorが発生する。

回避策:
  • PingRequestHandlerをsolrconfig.xmlに登録しない
  • qtパラメータをinvariantsに指定する
    <requestHandler name="/admin/ping" class="PingRequestHandler">
      <lst name="invariants">
        <str name="qt">standard</str>
      </lst>
    </requestHandler>
    
  • SOLR-2631のパッチを適用する


当社の今後の対応について:
上記回避策「PingRequestHandlerをsolrconfig.xmlに登録しない」または「qtパラメータをinvariantsに指定する」をお奨めします。なお、次期リリース0.8は本脆弱性に対する修正が含まれ、回避策の必要はありません。

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。