【高危】- Apache Solr未授权上传漏洞风险通告(CVE-2020-13957)
■ 漏洞描述
Solr是用Java编写、运行在Servlet容器(如Apache Tomcat或Jetty)的一个独立的全文搜索服务器。是Apache Lucene项目的开源企业搜索平台。其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本(如Word、PDF)的处理。
Apache Solr发布公告,修复了ConfigSet API中存在的未授权上传漏洞风险,该漏洞被利用可导致RCE(远程代码执行)。
■ 影响范围
Apache Solr 6.6.0 -6.6.5
Apache Solr 7.0.0 -7.7.3
Apache Solr 8.0.0 -8.6.2
■ 漏洞检测
1、对比系统版本。
2、是否开启身份验证。
■ 漏洞修复
升级到Solr 8.6.3或更高版本,漏洞链接:https://lucene.apache.org/solr/downloads.html
■ 临时修复
方法1:如果无法升级,请考虑应用SOLR-14663公告中的补丁;https://issues.apache.org/jira/browse/SOLR-14663
方法2:如果未使用ConfigSets API,请禁用UPLOAD命令,方法是设置系统属性:从“configset.upload.enabled”更改为“false”;参考:https://lucene.apache.org/solr/guide/8_6/configsets-api.html
方法3:使用身份验证/授权,确保未知请求不被允许;参考:https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html
■ 漏洞详情
https://mp.weixin.qq.com/s/6L_3J6vLpc4AgGPqZ0ql8A
Solr是用Java编写、运行在Servlet容器(如Apache Tomcat或Jetty)的一个独立的全文搜索服务器。是Apache Lucene项目的开源企业搜索平台。其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本(如Word、PDF)的处理。
Apache Solr发布公告,修复了ConfigSet API中存在的未授权上传漏洞风险,该漏洞被利用可导致RCE(远程代码执行)。
■ 影响范围
Apache Solr 6.6.0 -6.6.5
Apache Solr 7.0.0 -7.7.3
Apache Solr 8.0.0 -8.6.2
■ 漏洞检测
1、对比系统版本。
2、是否开启身份验证。
■ 漏洞修复
升级到Solr 8.6.3或更高版本,漏洞链接:https://lucene.apache.org/solr/downloads.html
■ 临时修复
方法1:如果无法升级,请考虑应用SOLR-14663公告中的补丁;https://issues.apache.org/jira/browse/SOLR-14663
方法2:如果未使用ConfigSets API,请禁用UPLOAD命令,方法是设置系统属性:从“configset.upload.enabled”更改为“false”;参考:https://lucene.apache.org/solr/guide/8_6/configsets-api.html
方法3:使用身份验证/授权,确保未知请求不被允许;参考:https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html
■ 漏洞详情
https://mp.weixin.qq.com/s/6L_3J6vLpc4AgGPqZ0ql8A