无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > Apache Solr ConfigSet 文件上傳漏洞
Apache Solr ConfigSet 文件上傳漏洞

2020-10-13 00:00:00

今日,金山云安全應急響應中心監(jiān)測到,Apache Solr發(fā)布公告,修復了ConfigSet API中存在的未授權上傳漏洞風險,該漏洞被利用可導致RCE(遠程代碼執(zhí)行)。


該漏洞影響較大,建議用戶及時更新到安全版本,做好資產(chǎn)自查及預防工作,以免遭受攻擊造成不必要的損失。


漏洞描述


Apache Solr是一個開源搜索服務。其主要功能包括全文檢索、命中標示、分面搜索、動態(tài)聚類、數(shù)據(jù)庫集成,以及富文本的處理。Solr是高度可擴展的,并提供了分布式搜索和索引復制。


Apache Solr Configset Api上傳功能存在未授權漏洞,攻擊者可以構造特定請求,上傳相關惡意文件,從而直接獲取到服務器權限。


風險等級


高危


漏洞編號


CVE-2020-13957


影響版本


Apache Solr: 6.6.0 - 6.6.5

Apache Solr: 7.0.0 - 7.7.3

Apache Solr: 8.0.0 - 8.6.2


修復建議


1. 未使用ConfigSets API,請禁用UPLOAD命令,即-Dconfigset.upload.enabled=false;

參考:https://lucene.apache.org/solr/guide/8_6/configsets-api.html;

2. 使用身份驗證/授權,確保未知請求不被允許

參考:https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3. 升級到Solr 8.6.3或更高版本

4. 若無法升級,參考SOLR-14663公告中的補丁

參考:https://issues.apache.org/jira/browse/SOLR-14663;

5. 設置防火墻規(guī)則進行訪問控制,設置Solr API訪問的白名單

參考鏈接

[1] https://issues.apache.org/jira/browse/SOLR-14925

[2] https://issues.apache.org/jira/browse/SOLR-14663




北京金山云網(wǎng)絡技術有限公司

2020/10/13


社旗县| 桂东县| 保定市| 沙洋县| 枣庄市| 莲花县| 叶城县| 安仁县| 洪雅县| 新竹市| 花垣县| 三门峡市| 揭东县| 万盛区| 开阳县| 邵阳市| 东山县| 吕梁市| 邢台县| 榕江县| 临湘市| 墨玉县| 苏尼特右旗| 保德县| 永福县| 宜宾县| 苗栗县| 东兰县| 冀州市| 儋州市| 高要市| 新乐市| 西青区| 呈贡县| 玛沁县| 博爱县| 定西市| 湘乡市| 武冈市| 津南区| 绵竹市|