NEWS

  • トップ
  • ニュース
  • セキュリティ警告:Apache Solr: Authentication bypass possible using a fake URL Path ending (CVE-2024-45216)

セキュリティ警告:Apache Solr: Authentication bypass possible using a fake URL Path ending (CVE-2024-45216)

  

投稿日: 2024年10月16日

    

お客様各位

平素はお引き立てを賜り、ありがとうございます。

KandaSearch ご利用のお客様に、セキュリティ関連の勧告についてお知らせいたします。

Apache Solr: Authentication bypass possible using a fake URL Path ending (CVE-2024-45216)

訳:Apache Solr:偽のURLパスの末尾を使用することで認証をバイパスする可能性があります。

重要度:

重要

影響するバージョン:

  • Apache Solr 5.3.0 から 8.11.4より前(8.11.4は含まれません)
  • Apache Solr 9.0.0 から 9.7.0より前(9.7.0は含まれません)

説明:

Apache Solrにおける不適切な認証の脆弱性。

Solr認証が有効な場合にデフォルトで使用されるPKIAuthenticationPluginを利用しているSolrインスタンスは、認証バイパスの脆弱性があります。任意のSolr API URLパスの末尾に偽のパスを付け加えることで、元のURLパスのAPI契約を維持しつつ認証をスキップすることが可能になります。この偽の末尾は、認証後に内部で除去され、APIルーティング前に無防備なAPIパスのように見えるためです。

回避策:

ユーザーは、この問題を修正したバージョン9.7.0または8.11.4にアップグレードすることを推奨します。

KandaSearchでは、本脆弱性を回避可能なバージョンをご提供しています。

クレジット:

Liu Huajin (報告者)

参考情報:

原文:

https://solr.apache.org/security.html#cve-2024-45216-apache-solr-authentication-bypass-possible-using-a-fake-url-path-ending

ご不明点がございましたらお気軽にお問い合わせください。

お見積もり・詳細は KandaSearch チームに
お気軽にお問い合わせください。

お問い合わせ