点击蓝字
关注我们
漏
洞
预
警
一、基本情况
|
近日,互联网披露了Apache Solr任意文件读取与SSRF漏洞,攻击者可利用该漏洞通过构造恶意数据执行SSRF(服务器端请求伪造)攻击,最终造成任意读取服务器上的文件。目前该漏洞细节和攻击代码已被公开,影响范围较大。建议相关用户采取有效措施进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
|
二、漏洞描述
|
Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 该漏洞是由于Apache Solr在默认安装时不会开启身份验证,攻击者在未授权情况下访问Config API打开requestDispatcher.requestParsers.enableRemoteStreaming开关,进而通过构造恶意请求,执行SSRF攻击,读取目标服务器的任意文件。
|
三、影响范围
|
四、安全建议
|
1.官方建议 目前Apache官方暂未修复该漏洞,建议关注官方安全更新:https://solr.apache.org/security.html 2.临时缓解措施 1)启用Apache Solr身份验证; 2)配置访问控制策略,避免Apache Solr暴露在互联网。
|
五、参考链接
|
https://issues.apache.org/jira/projects/SOLR/issues/SOLR-15124?filter=allopenissues https://cwiki.apache.org/confluence/display/solr/SolrSecurity
|
支持单位:
杭州安恒信息技术股份有限公司
深信服科技股份有限公司
北京神州绿盟科技有限公司
长按二维码 |关注我们
我知道你在看哟
原文始发于微信公众号(网络安全威胁和漏洞信息共享平台):Apache Solr任意文件读取与SSRF漏洞预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论