風(fēng)險(xiǎn)通告】Apache Solr SSRF與任意文件讀取漏洞
2021-03-18 00:00:00
3月18日�,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Solr存在SSRF與任意文件讀取漏洞。
該漏洞暫無(wú)安全補(bǔ)丁�,建議Apache Solr用戶及時(shí)采取安全措施,避免遭受惡意攻擊�。
漏洞描述
Apache Solr是一個(gè)開(kāi)源的搜索服務(wù),使用Java語(yǔ)言開(kāi)發(fā)���。Apache Solr的某些功能存在過(guò)濾不嚴(yán)格��,在Apache Solr未開(kāi)啟認(rèn)證的情況下�,攻擊者可直接構(gòu)造特定請(qǐng)求開(kāi)啟特定配置,并最終造成SSRF或文件讀取漏洞�����。
影響版本
Apache Solr所有版本
修復(fù)建議
該漏洞暫無(wú)安全補(bǔ)丁���,可采取如下安全措施:
1. 增加身份驗(yàn)證/授權(quán)(可參考官方文檔)����,設(shè)置防火墻�����,限制訪問(wèn)來(lái)源���,僅允許可信的計(jì)算機(jī)和人員訪問(wèn)��。
https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html
2. 將組建安裝到內(nèi)網(wǎng)����。
參考鏈接:
[1] https://issues.apache.org/jira/browse/SOLR
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021年3月18日