インデックスレプリケーション機能を使用する場合、Apache Solr ノードは、ファイル名を受け入れる HTTP API を使用して、マスター / リーダーノードからインデックスファイルをプルできます。Solr バージョン  < 5.5.4 および 6.x < 6.4.1 は、このファイル名を検証しないため、認証されていないリモートの攻撃者が、Solr アプリケーションが読み取り可能な任意のファイルにアクセスする可能性があります。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Red Hat JBoss Enterprise Application Platform 6.4の更新プログラムが、Red Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platformは、JBoss Application ServerをベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 6.4.20のこのリリースは、Red Hat JBoss Enterprise Application Platform 6.4.19を置換するもの機能し、「参照」でリンクされているリリースノートにドキュメント化されているバグ修正と拡張機能が含まれています。セキュリティ修正プログラム：*jackson-databind：不完全なブラックリストによる安全でない逆シリアル化（CVE-2017-7525に対する不完全な修正）（CVE-2017-15095）*jackson-databind：不完全なブラックリストによる安全でない逆シリアル化（CVE-2017-15095に対する不完全な修正）（CVE-2017-17485）*slf4j：任意のコードが実行される可能性のあるEventDataコンストラクターの逆シリアル化の脆弱性（CVE-2018-8088）*Apache ActiveMQ Artemis：信頼できない入力値の逆シリアル化の脆弱性（CVE-2016-4978）*solr：Index ReplicationのHTTP APIによるディレクトリトラバーサル（CVE-2017-3163）* tomcat：セキュリティ制約の空の文字列URLが不適切に処理されるため、リソースが意図せず表示される脆弱性（CVE-2018-1304）*jackson-databind：c3p0ライブラリの安全ではないシリアル化が発生するCVE-2017-7525の不完全な修正（CVE-2018-7489）影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。Red Hatは、CVE-2017-15095を報告してくれたLiao Xinxi氏（NSFOCUS）、CVE-2017-17485を報告してくれた360Guan Xing Shi Yan Shi の0c0c0f、CVE-2018-8088を報告してくれたChris McCown氏に感謝の意を表します。

Luceneをベースとした検索サーバーであるSolrに、任意コード実行またはパストラバーサルを引き起こす可能性がある2つの脆弱性が見つかりました。

lucene-solrハンドラーは、パストラバーサル攻撃に脆弱なHTTP API（/replication?command=filecontent&file=<file_name>）をサポートしています。具体的には、このAPIでは、ユーザー指定のfile_nameパラメーターの検証を実行しません。これにより、実際のSolrインデックス状態に関係がない場合でも、攻撃者がSolrサーバープロセスに読み込み可能な任意のファイルをダウンロードする可能性があります。

Debian 7「Wheezy」では、この問題はバージョン3.6.0+dfsg-1+deb7u2で修正されています。

お使いのlucene-solrパッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

jboss-ec2-eap用の更新プログラムが、Red Hat Enterprise Linux 6対応のRed Hat JBoss Enterprise Application Platform 6.4で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。jboss-ec2-eapパッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行するRed Hat JBoss Enterprise Application Platform用のスクリプトを提供します。この更新プログラムにより、Red Hat JBoss Enterprise Application Platform 6.4.19との互換性を確保するためにjboss-ec2-eapパッケージが更新されています。セキュリティ修正プログラム：*jackson-databind：不完全なブラックリストによる安全でない逆シリアル化（CVE-2017-7525に対する不完全な修正）（CVE-2017-15095）*jackson-databind：不完全なブラックリストによる安全でない逆シリアル化（CVE-2017-15095に対する不完全な修正）（CVE-2017-17485）*slf4j：任意のコードが実行される可能性のあるEventDataコンストラクターの逆シリアル化の脆弱性（CVE-2018-8088）*Apache ActiveMQ Artemis：信頼できない入力値の逆シリアル化の脆弱性（CVE-2016-4978）*solr：Index ReplicationのHTTP APIによるディレクトリトラバーサル（CVE-2017-3163）* tomcat：セキュリティ制約の空の文字列URLが不適切に処理されるため、リソースが意図せず表示される脆弱性（CVE-2018-1304）*jackson-databind：c3p0ライブラリの安全ではないシリアル化が発生するCVE-2017-7525の不完全な修正（CVE-2018-7489）影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。Red Hatは、CVE-2017-15095を報告してくれたLiao Xinxi氏（NSFOCUS）、CVE-2017-17485を報告してくれた360Guan Xing Shi Yan Shi の0c0c0f、CVE-2018-8088を報告してくれたChris McCown氏に感謝の意を表します。

リモート Redhat Enterprise Linux 5 ホストに、RHSA-2018:1450 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform は、JBoss Application Server をベースにした Java アプリケーション用のプラットフォームです。

    Red Hat JBoss Enterprise Application Platform 6.4.20のこのリリースは、Red Hat JBoss Enterprise Application Platform 6.4.19に置き換わるものとして機能し、「参照」でリンクされているリリースノートに記載されているバグ修正プログラムと拡張機能が含まれています。

    セキュリティ修正プログラム:

    * jackson-databind: 不完全なブラックリスト (CVE-2017-7525 に対する不完全な修正) による安全でない逆シリアル化 (CVE-2017-15095)

    * jackson-databind: 不完全なブラックリスト (CVE-2017-15095 に対する不完全な修正) による安全でない逆シリアル化 (CVE-2017-17485)

    * slf4j: EventData コンストラクターのシリアル化解除の脆弱性により、任意のコードが実行される可能性があります (CVE-2018-8088)

    * Apache ActiveMQ Artemis: 信頼できない入力値の逆シリアル化の脆弱性 (CVE-2016-4978)

    * solr: Index Replication の HTTP API によるディレクトリトラバーサル (CVE-2017-3163)

    * tomcat: セキュリティ制約内の空の文字列 URL の誤った処理による、リソースの意図しない公開の可能性 (CVE-2018-1304)

    * jackson-databind: CVE-2017-7525 の不完全な修正により、c3p0 ライブラリによる安全でないシリアル化が可能になります (CVE-2018-7489)

    影響、CVSS スコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

    Red Hat は、CVE-2017-15095を報告してくれた Liao Xinxi 氏 (NSFOCUS)、CVE-2017-17485を報告してくれた 360 の 0c0c0f、CVE-2018-8088を報告してくれた Chris McCown 氏に感謝の意を表します。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Red Hat JBoss Enterprise Application Platform 6.4の更新プログラムが、Red Hat Enterprise Linux 6で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platformは、JBoss Application ServerをベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 6.4.20のこのリリースは、Red Hat JBoss Enterprise Application Platform 6.4.19を置換するもの機能し、「参照」でリンクされているリリースノートにドキュメント化されているバグ修正と拡張機能が含まれています。セキュリティ修正プログラム：*jackson-databind：不完全なブラックリストによる安全でない逆シリアル化（CVE-2017-7525に対する不完全な修正）（CVE-2017-15095）*jackson-databind：不完全なブラックリストによる安全でない逆シリアル化（CVE-2017-15095に対する不完全な修正）（CVE-2017-17485）*slf4j：任意のコードが実行される可能性のあるEventDataコンストラクターの逆シリアル化の脆弱性（CVE-2018-8088）*Apache ActiveMQ Artemis：信頼できない入力値の逆シリアル化の脆弱性（CVE-2016-4978）*solr：Index ReplicationのHTTP APIによるディレクトリトラバーサル（CVE-2017-3163）* tomcat：セキュリティ制約の空の文字列URLが不適切に処理されるため、リソースが意図せず表示される脆弱性（CVE-2018-1304）*jackson-databind：c3p0ライブラリの安全ではないシリアル化が発生するCVE-2017-7525の不完全な修正（CVE-2018-7489）影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。Red Hatは、CVE-2017-15095を報告してくれたLiao Xinxi氏（NSFOCUS）、CVE-2017-17485を報告してくれた360Guan Xing Shi Yan Shi の0c0c0f、CVE-2018-8088を報告してくれたChris McCown氏に感謝の意を表します。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Index Replication 機能を使用する場合、Apache Solr ノードは、ファイル名を受け入れる HTTP API を使用して、マスター/リーダーノードからインデックスファイルをプルすることができます。しかし、 5.5.4 より前の Solr および [ 6.4.1 より前の  6.x は、ファイル名を検証しなかったため、パストラバーサルを含む特別なリクエストを作成し、Solr サーバープロセスに読み取り可能なファイルを漏洩させることが可能でした。ファイアウォールルールや認証によって保護され制限されているSolrサーバーは、信頼できるクライアントとユーザーのみが直接HTTPアクセスを取得するため、危険にさらされません。CVE-2017-3163

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
98895	Apache Solr 6.x < 6.4.1 のディレクトリトラバーサル	Web App Scanning	Component Vulnerability	2020/1/22	2023/3/14	high
98894	Apache Solr < 5.5.4 のディレクトリトラバーサル	Web App Scanning	Component Vulnerability	2020/1/22	2023/3/14	high
109905	RHEL 7：JBoss EAP（RHSA-2018：1448）	Nessus	Red Hat Local Security Checks	2018/5/18	2025/3/20	critical
107024	DebianDSA-4124-1：lucene-solr - セキュリティ更新	Nessus	Debian Local Security Checks	2018/2/28	2024/6/14	critical
102044	Debian DLA-1046-1: lucene-solrセキュリティ更新	Nessus	Debian Local Security Checks	2017/7/31	2021/1/11	high
109838	RHEL 6：eap6-jboss-ec2-eap（RHSA-2018:1451）	Nessus	Red Hat Local Security Checks	2018/5/16	2025/4/29	critical
233045	RHEL 5 : Red Hat JBoss Enterprise Application Platform 6.4.20 (RHSA-2018:1450)	Nessus	Red Hat Local Security Checks	2025/3/20	2025/3/20	critical
109906	RHEL 6：JBoss EAP（RHSA-2018：1449）	Nessus	Red Hat Local Security Checks	2018/5/18	2025/4/29	critical
254657	Linux Distros のパッチ未適用の脆弱性: CVE-2017-3163	Nessus	Misc.	2025/8/25	2025/8/25	high

検出

プラグインの検索

high

high

critical

critical

high

critical

critical

critical

high