11.01.16

背景情報

MarkLogicでは、MarkLogicドキュメント変換およびテキスト抽出メカニズムで発見されたセキュリティの問題に対処する更新版をリリースしました。この問題にパッチを適用したMarkLogicリリースの詳細については、以下を参照してください。

影響

MarkLogicでは、Microsoft OfficeやAdobe PDFなどのドキュメントを変換し、バイナリドキュメントからメタデータとテキストを抽出できます。これらの機能は、Iceni(Argus)およびLexmark(Perceptiveドキュメントフィルタ)で提供される機能を利用します。これらは、API xdmp:document-filter()およびxdmp:pdf-convert()によって明示的に、またはMarkLogicドキュメント変換パイプラインを使用して暗黙的に起動されます。

IceniおよびLexmarkは、これらの製品の脆弱性のセキュリティアラートを発行しており、修正プログラムを最新リリースに適用しています。MarkLogicでは、これらの修正プログラムが含まれる更新版をリリースしています。

次のIceni用CVEが公開されています。

  • CVE-2016-8333 – エクスプロイト可能なスタックベースのバッファーオーバーフローの脆弱性
  • CVE-2016-8335 – エクスプロイト可能なスタックベースのバッファーオーバーフローの脆弱性

Lexmarkでは、次のCVEを公開しています。

  • CVE-2016-5646 – エクスプロイト可能なヒープオーバーフローの脆弱性が、Lexmark PerceptiveドキュメントフィルタライブラリのCBFF(Compound Binary Format)パーサー機能に存在します。
  • CVE-2016-4336 – エクスプロイト可能な範囲外書き込みの脆弱性が、PerceptiveドキュメントフィルタのBzip2解析に存在します。
  • CVE-2016-4335 – エクスプロイト可能なバッファーオーバーフローの脆弱性が、Perceptiveドキュメントフィルタ変換機能のXLS解析に存在します。

これらは、重大度「高」(CVSSベーススコア7.0を超過)と見なされます。巧妙に細工されたPDF、Bzip2、XLSファイルを使用すると、バッファーオーバーフローが発生し、任意のコードを実行する可能性があります。

解決方法

最新バージョンのIceni(v6.6.5)およびLexmark ISYS(v11.3)では、上記のセキュリティ問題にパッチを適用しており、新しいバージョンがMarkLogic 8.0-6およびMarkLogic 7.0-6.8に導入されています。インストールおよびダウンロードの情報については、以下を参照してください。

その他の情報

MarkLogic 8.0-6およびMarkLogic 7.0-6.8は、http://developer.marklogic.com/productsからダウンロードできます。

Lexmarkでは、このセキュリティ問題の詳細情報を提供しています(こちらを参照)。Iceni CVEの情報については、こちらおよびこちらを参照してください。

MarkLogicのテキスト抽出およびドキュメント変換の詳細については、以下を参照してください。

ナレッジベースの記事:https://help.marklogic.com/Knowledgebase/Article/View/447/

謝辞

MarkLogicでは、このセキュリティ情報で説明されているセキュリティ問題を警告してくれたことに対して、Cisco TalosとMarcin Nogaに感謝いたします。

また、LexmarkとIceniのサポートに感謝します。

これらの問題に関するCisco Talosレポートについては、http://www.talosintelligence.com/vulnerability-reports/を参照してください。

Iceniについては、TALOS-2016-0200(CVE-2016-8333)およびTALOS-2016-0202(CVE-2016-8335)を参照してください。

Lexmarkについては、TALOS-2016-0185(CVE-2016-5646)、TALOS-2016-0173(CVE-2016-4336)、およびTALOS-2016-0172(CVE-2016-4335)を参照してください。

当ウェブサイトではクッキーを使用しています。

当Webサイトを継続利用することにより、お客様はMarkLogicのプライバシーステートメントに従ってクッキーの使用に同意するものとします。