UCloud-202104-002:Apache Solr 多个中高危漏洞
- 发布时间 2021-04-13
- 更新时间 2021-04-13
- 漏洞等级 High
- CVE编号 CVE-2021-27905、CVE-2021-29262、CVE-2021-29943
漏洞描述
开源的搜索服务Apache Solr使用Java语言开发,最近爆出某些功能存在过滤不严格,在未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并造成SSRF漏洞等攻击。影响版本
Apache Solr < 8.8.2安全版本
Apache Solr 8.8.2安全建议
1. 升级Apache Solr至最新版本2. 禁止Solr API 以及管理 UI 直接对公网开放,使用防火墙限制可访问源
3. 增加身份验证/授权,可参考官方文档:https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html
参考链接
https://www.mail-archive.com/announce@apache.org/msg06482.htmlhttps://www.mail-archive.com/announce@apache.org/msg06481.html
https://www.mail-archive.com/announce@apache.org/msg06480.html
