第7章 既知の問題

Apache Solr は、Apache Lucene 検索エンジンを使用する一般的なオープンソースの検索プラットフォームです。アプリケーションが Apache Solar と Apache Lucene の組み合わせ (Camel Solr コンポーネントを使用している場合など) を使用する場合、このセキュリティー脆弱性の影響を受ける可能性があります。この脆弱性の詳細と軽減策について、リンク先のセキュリティーアドバイザリーを確認してください。

FasterXML jackson-databind ライブラリーを使用し、JSON コンテンツをデシリアライズして Java オブジェクトをインスタンス化するアプリケーションは、潜在的に リモートコード実行 攻撃に脆弱です。しかし、脆弱性は自動的に発生せず、適切な軽減策を講じれば回避することができます。

最低でも以下の前提条件をすべて満たさなければ攻撃を実行することはできません。

jackson-databind の脆弱性に関して多くの CVE が存在するのは、多数のガジェットクラスが存在するためです。ガジェットクラスの種類別に異なる CVE が存在します。

アプリケーションで jackson-databind を使用する必要がある場合、Jackson JSON でポリモーフィックな型の処理を行わないようにし、ObjectMapper.enableDefaultTyping() メソッドを絶対に呼び出さないことが、リスクを軽減する最も重要な対策になります。

一部の古い CDK バージョンを使用すると、minishift の起動時に以下のエラーが発生する可能性があります。

minishift start
-- Starting profile 'minishift'
-- Check if deprecated options are used ... OK
-- Checking if https://mirror.openshift.com is reachable ... OK
-- Checking if requested OpenShift version 'v3.11.16' is valid ... FAIL

この問題を回避するには、Fuse 7.3 で CDK 3.8 以上を使用します。

Fuse on OpenShift にデプロイされた Karaf ベースのアプリケーションがメッセージの添付を使用する場合 (暗黙的な javax.activation パッケージの依存関係)、この問題の影響を受けます。通常、以下のようなエラーメッセージが発生します。

Caused by: java.lang.LinkageError: loader constraint violation: when resolving overridden method "org.apache.cxf.jaxrs.provider.JAXBAttachmentMarshaller.addMtomAttachment(Ljavax/activation/DataHandler;Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;" the class loader (instance of org/apache/felix/framework/BundleWiringImpl$BundleClassLoader) of the current class, org/apache/cxf/jaxrs/provider/JAXBAttachmentMarshaller, and its superclass loader (instance of <bootloader>), have different Class objects for the type javax/activation/DataHandler used in the signature

OpenShift にデプロイされた Karaf ベースのアプリケーションからこのようなエラーメッセージが出力された場合、アプリケーションの Maven プロジェクトを以下のように編集すると、この問題を修正できます。Maven プロジェクトで新しい jre.properties ファイルを以下の場所に作成します。

src/main/resources/assembly/etc/jre.properties

そして、サンプルの jre.properties ファイルからコンテンツを追加します。

アプリケーションが再デプロイされたとき、このカスタム jre.properties ファイルは Karaf マイクロコンテナーの デフォルトの JRE プロパティーをオーバーライドします。特に、jre.properties ファイルはデフォルトでは存在しない以下の行を jre-1.8 プロパティーに追加します。

javax.activation;version="1.1", \

Fuse 7.3 GA リリースでは、IBM AIX 7.2 プラットフォーム上で Apache CXF を Spring Boot スタンドアロンコンテナーと使用するには以下の回避策が必要です。Spring Boot アプリケーションを実行するときに、Java システムプロパティー java.version=1.8.0_131 を設定します。たとえば、Spring Boot アプリケーションを Maven プロジェクトから実行するには、以下を実行します。

mvn spring-boot:run -Djava.version=1.8.0_131

Fuse 7.3 GA リリースでは、IBM AIX 7.2 プラットフォーム上で Apache CXF を Apache Karaf コンテナーと使用するには以下の回避策が必要です。$KARAF_HOME/etc/system.properties ファイルを編集し、以下の行を追加します。

java.version=1.8.0_131

Fuse 7.0 GA リリースの Apache Karaf コンテナーでは、ホットデプロイバンドルの開始レベルがデフォルトで 80 になっています。これにより、同じ開始レベルを持つシステムバンドルや機能が多く存在するため、ホットデプロイバンドルに問題が発生することがあります。この問題を回避し、ホットデプロイバンドルが確実に開始するようにするには、etc/org.apache.felix.fileinstall-deploy.cfg ファイルを編集し、felix.fileinstall.start.level 設定を以下のように変更します。

felix.fileinstall.start.level = 90

framework-security オプションを使用して --no-auto-refresh OSGi 機能をインストールしないと、Apache Karaf コンテナーがシャットダウンします。以下に例を示します。

feature:install -v --no-auto-refresh framework-security