第7章 既知の問題

Apache Solr は、Apache Lucene 検索エンジンを使用する一般的なオープンソースの検索プラットフォームです。アプリケーションが Apache Solar と Apache Lucene の組み合わせ (Camel Solr コンポーネントを使用している場合など) を使用する場合、このセキュリティー脆弱性の影響を受ける可能性があります。この脆弱性の詳細と軽減策について、リンク先のセキュリティーアドバイザリーを確認してください。

FasterXML jackson-databind ライブラリーを使用し、JSON コンテンツをデシリアライズして Java オブジェクトをインスタンス化するアプリケーションは、潜在的に リモートコード実行 攻撃に脆弱です。しかし、脆弱性は自動的に発生せず、適切な軽減策を講じれば回避することができます。

最低でも以下の前提条件をすべて満たさなければ攻撃を実行することはできません。

アプリケーションで jackson-databind ライブラリーを使用する必要がある場合、Jackson JSON でポリモーフィックな型の処理を行わないようにし、ObjectMapper.enableDefaultTyping() メソッドを絶対に呼び出さないことが、リスクを軽減する最も重要な対策になります。

パフォーマンステストの結果、アクティビティー追跡ロジックによって、アクティビティーを追跡するために Fuse Online によって使用されるデータベースで非常に多くの無効なタプルが発生する可能性があることが判明しました。この問題により、特に UI からインテグレーションリストにアクセスする場合や、インテグレーションのアクティビティーを更新する場合など、データベースからの読み取りが必要な操作が一般的に遅くなります。この問題を回避するには、SQL ステートメント VACUUM FULL ANALYSE jsondb を実行して、データベースのメンテナンスを定期的に行います。

以下にしたがって、定期的にメンテナンスを行います。

# check to see if there are dead tuples (not vacuumed)
$ oc exec -c postgresql $(oc get pod -l 'syndesis.io/component=syndesis-db' --no-headers=true -o=custom-columns=x:.metadata.name) -- bash -c "echo SELECT schemaname, relname, n_live_tup, n_dead_tup, last_autovacuum FROM pg_stat_all_tables WHERE relname = \'jsondb\'|psql -U syndesis"

 schemaname | relname | n_live_tup | n_dead_tup |        last_autovacuum
------------+---------+------------+------------+-------------------------------
 public     | jsondb  |      26893 |     491210 | 2019-07-17 09:26:51.264029+00
(1 row)

# since there are 491210 dead tuples, perform the following

# scale down the server
$ oc scale --replicas=0 dc syndesis-server

# terminate all running connections
$ oc exec -c postgresql $(oc get pod -l 'syndesis.io/component=syndesis-db' --no-headers=true -o=custom-columns=x:.metadata.name) -- bash -c "echo SELECT pg_terminate_backend\(a.pid\) FROM pg_locks l join pg_stat_activity a ON a.pid = l.pid WHERE l.mode = \'ExclusiveLock\' AND a.usename = \'syndesis\'|psql -U syndesis"
FATAL:  terminating connection due to administrator command
server closed the connection unexpectedly
	This probably means the server terminated abnormally
	before or while processing the request.
connection to server was lost
command terminated with exit code 2

# the preceding FATAL error is expected, because the statement also closes the connection psql is using

# execute `VACUUM FULL ANALYSE`
$ oc exec -c postgresql $(oc get pod -l 'syndesis.io/component=syndesis-db' --no-headers=true -o=custom-columns=x:.metadata.name) -- bash -c "echo VACUUM FULL ANALYSE jsondb|psql -U syndesis"
VACUUM

# scale up server
$ oc scale --replicas=1 dc syndesis-server

Operator を使用して Fuse Online をインストールすると、以下のエラーが複数回発生しますが、インストール自体に大きな影響はないため、無視しても問題はありません。

{"level":"error","ts":1558617960.2453232,"logger":"controller","msg":"Error reconciling","action":"*action.startupAction","phase":"Starting","error":"Operation cannot be fulfilled on syndesises.syndesis.io \"app\": the object has been modified; please apply your changes to the latest version and try again","stacktrace":"github.com/syndesisio/syndesis/install/operator/vendor/github.com/go-logr/zapr.(*zapLogger).Error\n\t/go/src/github.com/syndesisio/syndesis/install/operator/vendor/github.com/go-logr/zapr/zapr.go:128\ngithub.com/syndesisio/syndesis/install/operator/pkg/controller/syndesis.(*ReconcileSyndesis).Reconcile\n\t/go/src/github.com/syndesisio/syndesis/install/operator/pkg/controller/syndesis/syndesis_controller.go:120\ngithub.com/syndesisio/syndesis/install/operator/vendor/sigs.k8s.io/controller-runtime/pkg/internal/controller.(*Controller).processNextWorkItem\n\t/go/src/github.com/syndesisio/syndesis/install/operator/vendor/sigs.k8s.io/controller-runtime/pkg/internal/controller/controller.go:215\ngithub.com/syndesisio/syndesis/install/operator/vendor/sigs.k8s.io/controller-runtime/pkg/internal/controller.(*Controller).Start.func1\n\t/go/src/github.com/syndesisio/syndesis/install/operator/vendor/sigs.k8s.io/controller-runtime/pkg/internal/controller/controller.go:158\ngithub.com/syndesisio/syndesis/install/operator/vendor/k8s.io/apimachinery/pkg/util/wait.JitterUntil.func1\n\t/go/src/github.com/syndesisio/syndesis/install/operator/vendor/k8s.io/apimachinery/pkg/util/wait/wait.go:133\ngithub.com/syndesisio/syndesis/install/operator/vendor/k8s.io/apimachinery/pkg/util/wait.JitterUntil\n\t/go/src/github.com/syndesisio/syndesis/install/operator/vendor/k8s.io/apimachinery/pkg/util/wait/wait.go:134\ngithub.com/syndesisio/syndesis/install/operator/vendor/k8s.io/apimachinery/pkg/util/wait.Until\n\t/go/src/github.com/syndesisio/syndesis/install/operator/vendor/k8s.io/apimachinery/pkg/util/wait/wait.go:88"}

OneShift Container Platform (OCP) 4.1 で、oc login コマンドによって作成された既存のセッションに依存せずに、fabric8-maven-plugin が Fabric8 の Kubernetes クライアント実装を使用して OpenShift に対して認証を行うと、以下のエラーが発生します。

[ERROR] Failed to execute goal org.jboss.redhat-fuse:fabric8-maven-plugin:7.4.0.fuse-740024:build (default) on project fabric8-maven-sample-zero-config: Failed to execute the build: Unable to build the image using the OpenShift build service: Unexpected response (403 Forbidden), to the authorization request. Missing header:[Location]!

特に、Tooling User Guide の Fuse on OpenShift クイックスタートサンプルをビルドおよびデプロイする手順では、fabric8-maven-plugin 自体が直接 OpenShift に対して認証を行うことに依存しています。「Deploying the Fuse Integration project to OpenShift」の手順にしたがって、プロジェクトを OCP 4.1 クラスターにデプロイする場合は、ステップ 5 を以下のように変更します。

OpenShift 4 で Fuse Console で Fuse サービスを管理する場合、OperatorHub のコミュニティーオペレーターを使用してコミュニティーバージョン (Hawtio) をインストールする必要があります。OpenShift Web コンソールのメインカタログから OperatorHub にアクセスします。

Fuse Console プロキシーと Jolokia エージェントとの間のコネクションをセキュアにするには、コミュニティーバージョンの Fuse Console をインストールし、それをデプロイする前にクライアント証明書を生成、署名、およびデプロイする必要があります。OpenShift 4 で Fuse Console をセキュアにする方法については、README ファイル を参照してください。

Fuse 7.4.0 リリースでは、Spring Boot 2 の BOM (Bill of Material) ファイルは正しくないバージョンの Qpid JMS クライアント用の org.apache.qpid:qpid-jms-client Maven アーティファクトを参照します。Maven プロジェクトで正しい (Red Hat がサポートする) バージョンの org.apache.qpid:qpid-jms-client を使用するには、以下の依存関係をプロジェクトの POM ファイルに追加します。

        <dependency>
            <groupId>org.apache.camel</groupId>
            <artifactId>camel-amqp</artifactId>
            <exclusions>
                 <exclusion>
                          <groupId>org.apache.qpid</groupId>
                           <artifactId>qpid-jms-client</artifactId>
                 </exclusion>
                 <exclusion>
                          <groupId>org.apache.qpid</groupId>
                           <artifactId>proton-j</artifactId>
                 </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.qpid</groupId>
            <artifactId>qpid-jms-client</artifactId>
            <version>0.40.0.redhat-00001</version>
        </dependency>
        <dependency>
            <groupId>org.apache.qpid</groupId>
            <artifactId>proton-j</artifactId>
            <version>0.31.0.redhat-00001</version>
        </dependency>

Fuse 7.0 GA リリースの Apache Karaf コンテナーでは、ホットデプロイバンドルの開始レベルがデフォルトで 80 になっています。これにより、同じ開始レベルを持つシステムバンドルや機能が多く存在するため、ホットデプロイバンドルに問題が発生することがあります。この問題を回避し、ホットデプロイバンドルが確実に開始するようにするには、etc/org.apache.felix.fileinstall-deploy.cfg ファイルを編集し、felix.fileinstall.start.level 設定を以下のように変更します。

felix.fileinstall.start.level = 90

framework-security オプションを使用して --no-auto-refresh OSGi 機能をインストールしないと、Apache Karaf コンテナーがシャットダウンします。以下に例を示します。

feature:install -v --no-auto-refresh framework-security