【漏洞通告】Apache Solr Operator身份验证凭据泄漏漏洞安全风险通告

admin 2024年4月18日02:54:02评论8 views字数 753阅读2分30秒阅读模式

漏洞背景

近日,嘉诚安全监测到Apache官方发布安全公告,修复了一个Apache Solr Operator身份验证凭据泄漏漏洞,漏洞编号为:CVE-2024-31391

Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为漏洞。当Solr Operator配置为启用基本身份验证(.solrOptions.security.authenticationType=basic)并要求在运行状况检查探测端点上进行身份验证(.solrOptions.security.probesRequireAuth=true)时(默认参数),该漏洞会导致Solr Operator在探测失败时,在Kubernetes事件日志泄露Solr以及"k8s-oper"账户的用户名和密码。

危害影响

影响范围:

0.3.0 <= Apache Solr Operator < 0.8.1

处置建议

建议用户升级到Sоlr Oреrаtоr版本0.8.1,还可以通过使用设置“.ѕоlrOрtiоnѕ.ѕесuritу.рrоbеѕRеԛuirеAuth=fаlѕе”禁用健康检查探针上的身份验证来缓解该漏洞。

参考链接:

https://lists.apache.org/thread/w7011s78lzywzwyszvy4d8zm99ybt8c7

https://solr.apache.org/downloads.html

【漏洞通告】Apache Solr Operator身份验证凭据泄漏漏洞安全风险通告【漏洞通告】Apache Solr Operator身份验证凭据泄漏漏洞安全风险通告

原文始发于微信公众号(嘉诚安全):【漏洞通告】Apache Solr Operator身份验证凭据泄漏漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月18日02:54:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Apache Solr Operator身份验证凭据泄漏漏洞安全风险通告https://cn-sec.com/archives/2663793.html

发表评论

匿名网友 填写信息