关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

【漏洞预警】Apache Solr 远程命令执行漏洞(CVE-2019-0193)
时间:2019.08.10   作者:网络   阅读:86

漏洞概述

近日,Apache官方发布Apache Solr远程代码执行漏洞(CVE-2019-0193)安全通告,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,因此该参数存在安全隐患。

攻击者可利用dataConfig参数构造恶意请求,实现远程代码执行,请相关用户尽快升级Solr至安全版本,以确保对此漏洞的有效防护。

​参考链接:https://issues.apache.org/jira/browse/SOLR-13669

 

影响范围

受影响版本

  • Apache Solr < 8.2.0

 

不受影响版本

  • Apache Solr >= 8.2.0

 

漏洞检测

在Solr管理后台Dashboard仪表盘中,可查看当前Solr的版本信息。若Solr版本在受影响范围内,且未做相关防护配置,则受此漏洞影响,请尽快采取防护措施。

 

漏洞防护

官方升级

从Solr的8.2.0版本开始,使用问题参数dataConfig需要将java系统属性“enable.dih.dataconfigparam”设置为true。因此用户可通过将Solr版本升级至8.2.0及以上,对此漏洞进行防护。

下载链接:http://lucene.apache.org/solr/downloads.html

 

临时防护建议

1、用户也可通过配置solrconfig.xml文件,将所有DataImportHandler 固定配置项中的dataConfig参数,设置为空字符串。

1

<str name="config"></str>

2、确保网络设置只允许可信流量与Solr建立通信,尤其是与DIH请求处理器的通信。

 

  CVE-2019-0193,Apache Solr

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项