【高危安全通告】Apache Solr SSRF与任意文件读取漏洞

2021年3月18日,安全狗应急响应中心监测到 Apache Solr存在SSRF与文件读取漏洞。

漏洞描述

Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件读取漏洞。

安全狗应急响应中心提醒Solr用户尽快采取安全措施阻止漏洞攻击。

安全通告信息

漏洞名称 Apache Solr SSRF文件读取漏洞
漏洞影响版本 Apache Solr <=8.8.1
漏洞危害等级 中危
厂商是否已发布漏洞补丁
版本更新地址
安全狗总预警期数 156
安全狗发布预警日期 2021年3月18日
安全狗更新预警日期 2021年3月18日
发布者 安全狗海青实验室

 

处置措施

安全版本

官方不予修复,暂无安全版本。

安全建议

1. 增加身份验证/授权,可参考官方文档:

https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

2. 禁止Solr API 以及管理 UI 直接对公网开放。设置防火墙,以便只允许受信任的计算机和人员访问。

 

安全狗主机防护(云眼)漏洞扫描服务漏洞特征库日期2021-3-18之后的版本,已支持检测全网资产是否存在Apache Solr stream.url SSRF与任意文件读取漏洞。 

郑重声明:本网站发布的内容(图片、视频和文字)以及用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注