漏洞背景
近日,嘉诚安全监测到Apache官方发布安全公告,修复了一个Apache Solr Operator身份验证凭据泄漏漏洞,漏洞编号为:CVE-2024-31391。
Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为中危漏洞。当Solr Operator配置为启用基本身份验证(.solrOptions.security.authenticationType=basic)并要求在运行状况检查探测端点上进行身份验证(.solrOptions.security.probesRequireAuth=true)时(默认参数),该漏洞会导致Solr Operator在探测失败时,在Kubernetes事件日志泄露Solr以及"k8s-oper"账户的用户名和密码。
危害影响
影响范围:
0.3.0 <= Apache Solr Operator < 0.8.1
处置建议
建议用户升级到Sоlr Oреrаtоr版本0.8.1,还可以通过使用设置“.ѕоlrOрtiоnѕ.ѕесuritу.рrоbеѕRеԛuirеAuth=fаlѕе”禁用健康检查探针上的身份验证来缓解该漏洞。
参考链接:
https://lists.apache.org/thread/w7011s78lzywzwyszvy4d8zm99ybt8c7
https://solr.apache.org/downloads.html
原文始发于微信公众号(嘉诚安全):【漏洞通告】Apache Solr Operator身份验证凭据泄漏漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论