02.23.17

背景情報

MarkLogicは、MarkLogicドキュメント変換メカニズムで発見されたセキュリティの問題に対処する更新版をリリースしました。この問題にパッチを適用したMarkLogicリリースの詳細については、以下を参照してください。

影響

MarkLogicでは、PDFドキュメントを変換できます。この機能は、Iceni(Argus)で提供される機能を利用します。これらは、関数xdmp:pdf-convert()で明示的に、またはMarkLogicドキュメント変換パイプラインを使用して暗黙的に起動されます。

Iceniでは、修正プログラムを最新リリースに適用しており、MarkLogicでは、これらの修正プログラムが含まれる更新版をリリースしています。

次のIceni用CVEが公開されています。

CVE 説明 CVSS v3スコア
CVE-2016-8385 PDFコード実行の脆弱性 1,170
CVE-2016-8386 PDFコード実行の脆弱性 1,170
CVE-2016-8387 バッファーオーバーフローの脆弱性 1,170
CVE-2016-8388 ヒープオーバーフローの脆弱性 1,170
CVE-2016-8389 整数オーバーフローの脆弱性 1,170
CVE-2016-8715 PDFコード実行の脆弱性 1,170

これらは、重大度「高」(CVSSベーススコア7.0を超過)と見なされます。巧妙に細工されたファイルを使用すると、任意のコードが実行される可能性があります。

解決方法

最新バージョンのIceni(v7.1)では、上記のセキュリティ問題にパッチを適用しており、新しいバージョンがMarkLogic 8.0-6に導入されています。インストールおよびダウンロードの情報については、以下を参照してください。

その他の情報

MarkLogic 8.0-6.3は、http://developer.marklogic.com/productsからダウンロードできます。
MarkLogicテキスト抽出およびドキュメント変換の詳細については、以下を参照してください。

ナレッジベースの記事:https://help.marklogic.com/Knowledgebase/Article/View/447/

謝辞

MarkLogicでは、このセキュリティ情報で説明されているセキュリティ問題を警告してくれたことに対して、Cisco TalosとMarcin Nogaに感謝いたします。

また、Iceniのサポートに感謝しています。

当ウェブサイトではクッキーを使用しています。

当Webサイトを継続利用することにより、お客様はMarkLogicのプライバシーステートメントに従ってクッキーの使用に同意するものとします。