关于avd-z6尊龙平台

 关于avd-z6尊龙平台
当前位置: z6尊龙平台首页 > 风险预警 > 预警通报 > 正文

关于avd-2023-1662710 apache solr stream.url ssrf与任意文件读取致rce漏洞的预警通告

【来源: | 发布日期:2023-04-16 】

一、事件描述

近日,广西教育系统网络安全监测中心监测到阿里云漏洞库z6尊龙平台官网发布了编号为avd-2023-1662710的apache solr stream.url ssrf与任意文件读取致rce漏洞。研究人员发现,攻击者可通过构建恶意请求来读取solr服务器上的文件或发起内网请求。2023年4月14日,互联网上披露在借助ssrf漏洞结合其他相关特性,可造成远程代码执行,其cnvd编号为cnvd-2023-27598。


apache solr是一个开源的搜索服务,使用java语言开发,主要基于http和apache lucene实现。solr是一个高性能,采用java5开发,基于lucene的全文搜索服务器。solr是一个独立的企业级搜索应用服务器,很多企业运用solr开源服务。它的主要特性包括:高效、灵活的缓存功能,垂直搜索功能,高亮显示搜索结果,通过索引复制来提高可用性,提供一套强大data schema来定义字段,类型和设置文本分析,提供基于web的管理界面等。

二、影响范围

8.10.0 <= apache solr < 9.2.0

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为高危

四、安全建议

临时缓解措施:

1)以solrcloud方式部署的机器不出网。

2)在org.apache.solr.core.solrconfig的initlibs()方法中对标签的内容进行检测,防止unc以及/tmp目录作为依赖包目录。

3)在solr启动时加上用户身份校验,使得用户登录后才能使用solr的功能。

修复建议:

建议受影响的用户尽快升级至安全版本apache solr9.2.0。

下载地址:https://github.com/apache/solr/releases/tag/releases/solr/9.2.0


网站地图