脆弱性テストのエラーを解消する方法
コピーリンク
(The bot translated the original post https://lists.apache.org/thread/tc9lgxz1h2n6ltcxhn2cn7xttjlz97bj into Japanese and reposted it under Apache License 2.0. The copyright of posted content is held by the original poster.)
こんにちは、
弊社では最近、Solr 6サーバーに対して脆弱性テストを実施し始めました。これは、悪意のある文字列をコア名として使用してコアを作成するAPIコールを送信することで行います。この文字列は実際には無効なコア名であり、そのためコアは実際には作成されません(これは良いことです)。しかし、コア初期化エラーがSolrCore Initialization Failuresリストに追加され、これがすべてのSolr管理UIページの上部に表示されます。時間が経つにつれてこのリストは大きくなります...
Solrインスタンスを再起動すると、このリストからこれらの初期化エラーが消去されます。しかし、これらのエラーをクリアする別の方法があるのか知りたいです。
ありがとうございます。
Matt
現時点では方法を知りません。全体的な低レベルのコンテナを再起動しなくても、そのリストをクリアする方法があるはずです。仕事と生活が重なっていて、今日の夜遅く(米国山岳時間帯)まで詳しく調べる時間がありません。Solrのアップグレードが助けになるとは思いませんが、バージョン6はかなり古いものです。8.xへの大規模なアップグレードの計画とテストを開始すべきです。
ありがとう、
Shawn
こんにちは、
私も同じエラーに遭遇していますが、Solrを再起動してもエラーは消えません。
私のSolrのバージョンは5.2.1です。
この問題を解決するために何ができるでしょうか?
ありがとうございます。
よろしくお願いします。
Isabella
これらの名前はcore.propertiesファイルに書き込まれるか、問題のある名前でディレクトリが作成されると思います(SolrCloudを使用していない場合)。Solrのホームディレクトリの下でその証拠を確認してください。
最も簡単な防御策は、JettyレベルでIPベースの制限を行い、ローカルホストと(場合によっては)他のSolrサーバーからの管理コールのみを許可することです。
Solrの異なるバージョンは異なるバージョンのJettyを使用しています(5.xはまだwarファイルやTomcatの時代の場合もあります)。したがって、正しいバージョンを見つけて、そこからセキュリティを確保してください。
ありがとうございます、Mattew
はい、私はSolrCloudを使用しており、clusterstate.jsonにこの名前が含まれているのを確認しました。
"ldap://log4shell-generic-0QCXG8pYHe3RzoBwsUhT${::-ten.w.nessus.org/nessus}": {
"router": {"name": "implicit"},
"shards": {"shard1": {
"range": null,
"state": "active",
"parent": null,
"replicas": {"core_node1": {
"state": "down",
"core": "ldap://log4shell-generic-0QCXG8pYHe3RzoBwsUhT${::-ten.w.nessus.org/nessus}",
"node_name": "solrhostname:solrport_solr",
"base_url": "http://solrhostname:solrport/solr"}}}}}}
しかし、/collectionsや/configsには何も見当たりません。
ただし、LISTコレクションに表示されているものを削除できません。
問題は名前に含まれる特殊文字、特に / と ${} にあると思います。
コレクションを削除しようとすると、次のエラーが発生します。
Invalid path string
"/collections/ldap://log4shell-generic-Lme4AEk3XG3WHYjMaBl8${lower: ten.w.nessus.org/nessus}" caused by empty node name specified @19
これを削除するにはどうすればいいでしょうか?
SolrCloud(2ノード)でJettyレベルでIPを制限する方法は?
アクセスを2つのSolrノードとZookeeperのIPに制限すべきですか?
よろしくお願いします。
Isabella
どんなマジック文字のエスケープやエンコーディングでコアを「入れた」としても、それを使ってコアを「出す」ことができるはずです。 ;) ただし、力ずくでやる必要があるかもしれません。
SolrのWARファイル内のJettyのバージョンを見つけて、アクセス制限の設定方法を調べてください。このリンクにはいくつかのヒントが載っています:
https://stackoverflow.com/questions/8924102/restricting-ip-addresses-for-jetty-and-solr
ありがとう、Mattew
request.logで現在SolrにアクセスしているIPを検出しました。
これらのIPをJettyのホワイトリストに追加する必要がありますか?
検出されたIPの中にZookeeperのIPが見当たらないのですが、ZookeeperのIPもホワイトリストに追加する必要がありますか?
よろしくお願いします。
Isabella
こんにちは、Shawn
元の質問に関して、私たちはSolr 6を使用しており、SolrCloudではありません(したがって、コア管理APIコールを使用しています)。はい、Solr 8 SolrCloudへの移行を計画中ですが、デプロイにはまだ時間がかかります。
現在の本番環境のSolr 6サーバーについて、再起動せずに管理UIに表示されるこれらのエラーをクリアする方法があれば素晴らしいです。
ありがとうございます。
Matt
コアの起動中に発生したエラーが再起動後も残っている場合、それは問題が解決されておらず、再起動後に再び発生したことを意味します。
再起動する前に、エラーを引き起こした問題を実際に修正する必要があります。
ありがとうございます。
Shawn
トピックへ返信するには、ログインが必要です。