INFORMATION
サブスクリプション

[更新]セキュリティ警告:CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、3/20 に Apache POI コミュニティにてアナウンスされましたセキュリティ関連の勧告について、新たに判明した事実に基づき、対象のApache Solrのバージョンを、以下の通り更新いたします。

■ 対象のApache Solrのバージョン
6.2.0 より前のバージョン (以前の告知では全てのバージョン)

■ 脆弱性の内容

以下、 Apache POI コミュニティからの勧告(翻訳)

= CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15  =
対象リリースバージョン: 3.15より前の全てのバージョン
種類: サービス拒否
説明:
3.15 より前のバージョンの Apache POI は遠隔地の攻撃者により細工された OOXML ファイルでXML Entity Expantion(XEE) が引き起こされることによる DoS 攻撃で大量のCPUリソースが消費される可能性があります。
Apache POI を利用しており、外部や信頼できないソースからドキュメントを受け取っているシステムをお持ちの場合には、Apache POI 3.15 以降のバージョンへのアップグレードを推奨します。


■ Apache Solr 利用者への影響
6.2.0より前のバージョンで、”contrib/extraction”フォルダ配下の”Apache Solr Content Extraction Library (Solr Cell)”モジュールを有効にしているSolr利用者はこれらの問題に該当します。

該当するバージョンのApache Solr利用者でPOIの機能を使っていない場合は無効化することをお勧めします。
また、ご利用されている場合には、OOXMLデータ(docx, xlsx, pptxなど)の取り込み元の見直しをご検討ください。

脆弱性を含む 2.3.0 より前のサブスクリプションをご利用で、当該機能をご利用のお客様はバージョンアップをご検討ください。

サポートサービスご加入のお客様は、上記手順を参考にして必要な対応を実施していただきますようお願いいたします。

以上、今後ともよろしくお願い申し上げます。

トレーニングコース

ロンウイットのトレーニングは、Lucene/Solrの経験豊富なコミッターの
監修のもと開発されたハンズオン(実習)形式のコースです。

セミナー

ロンウイットのApache Software Foundationコミッターが、情報検索の基礎、自然言語処理、そして、ユーザにとっての効果についてご説明させていただきます。