近日����,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache Solr遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201908-031、CVE-2019-0193)情況的報(bào)送�。成功利用漏洞的攻擊者,可在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行惡意代碼���。Apache Solr 8.2.0之前版本均受漏洞影響�����。目前��,Apache官方已發(fā)布升級(jí)補(bǔ)丁修復(fù)了該漏洞�,建議用戶及時(shí)確認(rèn)是否受到漏洞影響����,盡快采取修補(bǔ)措施。
一��、漏洞介紹
Apache Solr是美國(guó)阿帕奇(Apache)軟件基金會(huì)的一款基于Lucene(一款全文搜索引擎)的搜索服務(wù)器�����,它對(duì)外提供類(lèi)似于Web-service的API接口����,被很多企業(yè)廣泛使用。漏洞源于Apache Solr DataImportHandler模塊的DIH管理界面在開(kāi)啟調(diào)試模式時(shí)���,DIH 配置可以接收來(lái)自請(qǐng)求的dataConfig參數(shù)���,通過(guò)該參數(shù)可以包含惡意腳本導(dǎo)致代碼執(zhí)行。
二��、危害影響
目前�����,漏洞細(xì)節(jié)和利用代碼暫未公開(kāi)�����,但攻擊者可以通過(guò)補(bǔ)丁對(duì)比方式分析出漏洞觸發(fā)點(diǎn)�,并進(jìn)一步開(kāi)發(fā)漏洞利用代碼。成功利用漏洞的攻擊者�,可在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行惡意代碼。Apache Solr 8.2.0之前版本均受漏洞影響�。
三、修復(fù)建議
目前���,Apache官方已發(fā)布升級(jí)補(bǔ)丁修復(fù)了該漏洞��,建議用戶及時(shí)確認(rèn)是否受到漏洞影響�����,盡快采取修補(bǔ)措施����。官方補(bǔ)丁鏈接如下:
http://lucene.apache.org/solr/downloads.html
本通報(bào)由CNNVD技術(shù)支撐單位——知道創(chuàng)宇404實(shí)驗(yàn)室、杭州安恒技術(shù)股份有限公司提供支持���。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況����,及時(shí)發(fā)布相關(guān)信息����。如有需要,可與CNNVD聯(lián)系�。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
