お客様各位
平素はお引き立てを賜り、ありがとうございます。
KandaSearch ご利用のお客様に、セキュリティ関連の勧告についてお知らせいたします。
JWT Authentication: blockUnknown default allows unauthenticated access contrary to documentation
訳:JWT認証 – blockUnknown のデフォルト設定が、ドキュメントの説明とは異なり未認証アクセスを許可している
日付:
2026年5月19日
重要度:
中
影響するバージョン:
- Apache Solr 9.0.0 から 9.10.1
- Apache Solr 10.0.0
説明:
Apache Solr の JWT Authentication Plugin には、匿名(未認証)リクエストをブロックするかどうかを制御する blockUnknown という設定パラメータがあります。Reference Guide では、Solr 9.0 以降、この値のデフォルトは true と記載されていましたが、実際のコード上のデフォルト値は一貫して false でした。そのため、このパラメータを明示的に設定していなかった運用者は、意図せず匿名リクエストを受け入れていた可能性があります。
影響を受けますか?:
以下のすべてに該当する場合、影響を受ける可能性があります。
- security.json で JWT Authentication Plugin (solr.JWTAuthPlugin) を使用している
- すべての未認証リクエストをブロックしたい
- security.json において blockUnknown を true に明示設定していない
以下のいずれかに該当する場合は影響を受けません。
- 「all」という事前定義された権限を定義していない RuleBasedAuthorizationPlugin権限リスト
- AuthorizationPlugin(例: RuleBasedAuthorizationPlugin)は、未認証ユーザーへのアクセスを独自に拒否している
回避策:
security.json の authentication セクションを確認してください。blockUnknown が存在しない場合は、明示的に true を設定してください。
修正版:
今後リリースされる Solr 9.11 および 10.1 では、blockUnknown のコード上のデフォルト値が true に変更される予定です。現在のリリースでも、blockUnknown を明示的に true に設定すれば十分であり、アップグレードは必須ではありません。
参考情報:
原文:
ご不明点がございましたらお気軽にお問い合わせください。