05.03.17

背景情報

MarkLogicは、MarkLogicドキュメント変換メカニズムで発見されたセキュリティの問題に対処する更新版をリリースしました。この問題にパッチを適用したMarkLogicリリースの詳細については、以下を参照してください。

影響

MarkLogicでは、Officeドキュメントを変換できます。この機能は、アンテナハウスから提供される機能(Office2HTML)を利用します。これは、関数xdmp:word-convertxdmp:excel-convertxdmp:powerpoint-convertで明示的に、またはMarkLogicドキュメント変換パイプラインを使用して暗黙的に起動されます。

アンテナハウスでは、修正プログラムを最新リリースに適用しており、MarkLogicでは、これらの修正プログラムが含まれる更新版をリリースしています。

次のアンテナハウス用CVEが公開されています。

CVE 説明 CVSS v3スコア
CVE-2016-8382 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2016-8383 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2016-8384 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2783 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2792 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2793 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2794 エクスプロイト可能なスタックベースのバッファーオーバーフロー 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2795 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2797 ヒープオーバーフローをもたらす脆弱性 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2798 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
CVE-2017-2799 エクスプロイト可能ヒープ破損 8.3 – AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

これらは、重大度「高」(CVSSベーススコア7.0を超過)と見なされます。巧妙に細工されたファイルを使用すると、任意のコードが実行される可能性があります。

解決方法

最新バージョンのアンテナハウス(v1.1-2017-0321)では、上記のセキュリティ問題にパッチを適用しており、新しいバージョンがMarkLogic 8.0-6.4に導入されています。インストールおよびダウンロードの情報については、以下を参照してください。

その他の情報

MarkLogic 8.0-6.4は、http://developer.marklogic.com/productsからダウンロードできます。

MarkLogicのテキスト抽出およびドキュメント変換の詳細については、以下を参照してください。

ナレッジベースの記事:https://help.marklogic.com/Knowledgebase/Article/View/xxx/.

謝辞

MarkLogicでは、このセキュリティ情報で説明されているセキュリティ問題を警告してくれたことに対して、Cisco TalosとMarcin Nogaに感謝いたします。

また、Iceniのサポートにも感謝します。

当ウェブサイトではクッキーを使用しています。

当Webサイトを継続利用することにより、お客様はMarkLogicのプライバシーステートメントに従ってクッキーの使用に同意するものとします。