Apache Solr未授权上传漏洞预警(CVE-2020-13957)

举报
华为云客户服务中心 发表于 2020/10/14 15:57:48 2020/10/14
【摘要】 一、概要近日,华为云关注到Apache Solr官方发布安全公告,披露在特定的Solr版本中ConfigSet API存在未授权上传漏洞(CVE-2020-13957),攻击者利用漏洞可实现远程代码执行。华为云提醒使用Apache Solr的用户及时安排自检并做好安全加固。参考链接: https://www.mail-archive.com/announ...

一、概要

近日,华为云关注到Apache Solr官方发布安全公告,披露在特定的Solr版本中ConfigSet API存在未授权上传漏洞(CVE-2020-13957),攻击者利用漏洞可实现远程代码执行。

华为云提醒使用Apache Solr的用户及时安排自检并做好安全加固。

参考链接:                   

https://www.mail-archive.com/announce@apache.org/msg06149.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache Solr 6.6.0 to 6.6.5

Apache Solr 7.0.0 to 7.7.3

Apache Solr 8.0.0 to 8.6.2

安全版本:

Apache Solr >= 8.6.3

四、漏洞处置

受影响的用户可参考以下任一项措施修复漏洞:

1、如果未使用ConfigSets API,则通过将系统属性设置为“ configset.upload.enabled”设置为“ false”来禁用UPLOAD命令。参考:https://lucene.apache.org/solr/guide/8_6/configsets-api.html

2、使用身份验证/授权来确保未知的请求不会被允许访问。参考:https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3、升级到8.6.3及以上的安全版本。

4、如果不能进行升级,请考虑在SOLR-14663公告中的应用补丁。参考:https://issues.apache.org/jira/browse/SOLR-14663

5、将Solr API(包括Admin UI)仅对可信的IP或用户开放。

注:修复漏洞前请将资料备份,并进行充分测试。


【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200