お客様各位
平素はお引き立てを賜り、ありがとうございます。
KandaSearch ご利用のお客様に、セキュリティ関連の勧告についてお知らせいたします。
Apache Solr can expose ZooKeeper credentials via Streaming Expressions (CVE-2023-50298)
訳:Apache Solrは、Streaming Expressions(ストリーミング言語)を介してZooKeeperの資格情報を公開する可能性があります。
重要度:
低
影響するバージョン:
- Apache Solr 6.0.0 から 8.11.2
- Apache Solr 9.0.0 から 9.4.1より前(9.4.1は含まれません)
説明:
Apache Solrにおける「権限のないアクターへの機密情報の露出(Exposure of Sensitive Information to an Unauthorized Actor)」の脆弱性が報告されています。この問題は、Apache Solrの6.0.0から8.11.2、9.0.0から9.4.1より前のバージョンに影響します。
Solr Streaming Expressions(ストリーミング言語)は、ユーザーが「zkHost」というパラメータを使用して、他のSolrクラウドからデータを抽出することを可能にします。元のSolrCloudがZooKeeperの資格情報とACLを使用するように設定されている場合、ユーザーが提供する「zkHost」にそれらが送信されます。攻撃者は、ニセのZooKeeperをセットアップすることで、資格情報とACLを含むZooKeeperリクエストを受け入れ、機密情報を抽出できます。その後、攻撃者は「zkHost」にニセのサーバーのアドレスを使用してStreaming Expressions(ストリーミング言語)を送信することができます。Streaming Expressions(ストリーミング言語)は、READ権限が与えられた"/streaming"ハンドラを介して情報を露出させます。
回避策:
ユーザーには、問題を修正したバージョン8.11.3または9.4.1にアップグレードすることが推奨されています。これらのバージョンからは、chrootに関係なく、サーバーアドレスが同じである(chrootに関係なく)zkHost値は、接続時に指定されたZooKeeperの資格情報とACLを使用します。
KandaSearchでは、本脆弱性を回避可能なバージョンをご提供しています。
クレジット:
Qing Xu (報告者)
参考情報:
- JIRA – SOLR-17098
- CVE – CVE-2023-50298
原文:
ご不明点がございましたらお気軽にお問い合わせください。