こんにちは。Solr 9.3.0自体にはguava-32.0.1-jreが含まれています。古いバージョンをどこで見つけたのですか？

こんにちは、Colvin。

「trivy image solr:9.3.0」を実行したところ、以下のような結果が得られました：

• com.google.guava:guava (hadoop-shaded-guava-1.1.1.jar)
• com.google.guava:guava (hadoop-client-runtime-3.3.5.jar)

つまり、Hadoopを通じてシェーディングされています。しかし、結局自分のリクエストに対する回答を準備していました。Hadoopのリリース3.3.5のソースコードを確認しましたが、問題のクラス「FileBackedOutputStream」に関する記述は見つかりませんでした。したがって、これが実際の問題であるかどうかはわからないかもしれません。

Stefan

はい、見つけました。Hadoopについては詳しくわかりませんが、そのクラスを使用しているようには見えません。HadoopはまだGuavaの依存関係を更新していないようです： https://github.com/apache/hadoop-thirdparty/pull/23。もし脆弱性があった場合、すぐに対応しているはずだと思います。

私の知る限りでは、SolrはHDFSファイルシステムを使用するためにHadoopを含んでいるだけなので、HDFSを使用していない場合はHadoopの依存関係も使用されないでしょう。

こんにちは、Colvin。

おっしゃる通りのようです。「FileBackedOutputStream」はどこでも使用されておらず、Guavaも内部でそれを使用していないようです。

Solr 9.2.1では、Guavaはauto-value-1.10.1.jarを通じて含まれていますが、そのライブラリでも「FileBackedOutputStream」は使用されていないようです。

結局、これはSolrの両バージョン（9.2.1と9.3）の偽陽性のようです。もし間違っていて実際に問題がある場合は、お知らせいただければ幸いです。

どうもありがとうございました！
Stefan