拝啓 Pieper様

これらのセキュリティ問題は、Solr Dockerイメージ8.11.2にのみ影響を与えるのでしょうか？それとも、ローカルコンピュータにインストールされたSolrや、サーバー上のSolrCloudインストール（= Solrクラスタ）にも影響があるのでしょうか？

よろしくお願いいたします。
Thomas Heldmann

こんにちは、

私はSolrのDockerイメージのみを確認しましたが、

https://access.redhat.com/security/cve/CVE-2021-31879 は、コマンドラインツール「wget」に関するセキュリティ問題に言及しており、Dockerイメージを使用せずにインストールする際に更新（修正済み）のバージョンが使用される場合、Dockerイメージにのみ影響すると思われます。Solr自体が「wget」を呼び出しているとは考えにくく、おそらくDockerイメージのセットアップにのみ使用されていると思います。

https://github.com/advisories/GHSA-jgvc-jfgh-rjvv は、JAR依存関係（org.bitbucket.b_c:jose4j）に関するもので、実際の問題となる可能性があります（ただし、重要度は「中程度」です）。これが「誤検出」であり、Solrには全く影響がないという確認をSolrチームから得たいと考えています。

よろしくお願いします
Stefan

こんにちは、

jose4jに関連する攻撃は、jwt-authモジュールに影響を与える可能性がありますが、これはJWTペイロードがRSA1_5またはRSA_OAEPアルゴリズムで暗号化されている場合に限ります。これらのアルゴリズムは、Identity Providerで設定するものであり、数年前から推奨されていないため、特に心配する必要はないと思います。

同様に、wgetコマンドに関しては、まずマシンに侵入してシェルアクセスを取得する必要がありますが、wgetはSolrでは使用されていないため、それも懸念する必要はありません。

Jan

ありがとう！とても助かりました。本当に安心しました。