专栏首页绿盟科技安全情报【漏洞预警】Apache Solr 远程代码执行漏洞(CVE-2019-0193)预警通告

【漏洞预警】Apache Solr 远程代码执行漏洞(CVE-2019-0193)预警通告

预警编号:NS-2019-0029

2019-08-07

TAG:

Apache Solr、CVE-2019-0193、远程代码执行

危害等级:

攻击者利用此漏洞可实现远程代码执行。

版本:

1.0

1

漏洞概述

近日,Apache官方发布Apache Solr远程代码执行漏洞(CVE-2019-0193)安全通告,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,因此该参数存在安全隐患。

攻击者可利用dataConfig参数构造恶意请求,实现远程代码执行,请相关用户尽快升级Solr至安全版本,以确保对此漏洞的有效防护。

参考链接:

https://issues.apache.org/jira/browse/SOLR-13669

SEE MORE →

2影响范围

受影响版本

  • Apache Solr < 8.2.0

不受影响版本

  • Apache Solr >= 8.2.0

3漏洞检测

在Solr管理后台Dashboard仪表盘中,可查看当前Solr的版本信息。若Solr版本在受影响范围内,且未做相关防护配置,则受此漏洞影响,请尽快采取防护措施。

4漏洞防护

4.1 官方升级

从Solr的8.2.0版本开始,使用问题参数dataConfig需要将java系统属性“enable.dih.dataconfigparam”设置为true。因此用户可通过将Solr版本升级至8.2.0及以上,对此漏洞进行防护。

下载链接:

http://lucene.apache.org/solr/downloads.html

4.2 临时防护建议

1、用户也可通过配置solrconfig.xml文件,将所有DataImportHandler 固定配置项中的dataConfig参数,设置为空字符串。

<str name="config"></str>

2、确保网络设置只允许可信流量与Solr建立通信,尤其是与DIH请求处理器的通信。

END

作者:绿盟科技伏影实验室

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning),作者:绿盟伏影实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-08-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【漏洞预警】Apache Solr远程代码执行漏洞(CVE-2019-12409)预警通告

    当地时间11月18日,Apache Solr官方发布通告披露了一个远程代码执行漏洞(CVE-2019-12409),此漏洞因solr.in.sh配置文件中的EN...

    绿盟科技安全情报
  • 【漏洞预警】Apache Solr远程代码执行漏洞 (CVE-2019-0193)处置手册及技术分析

    近日,Apache Solr官方发布Apache Solr远程代码执行漏洞(CVE-2019-0193)安全通告,此漏洞存在于可选模块DataImportHan...

    绿盟科技安全情报
  • 【威胁通告】GoAhead Web服务器两个高危漏洞威胁通告

    2019年12月2日,Cisco Talos公开发布了GoAhead Web服务器的一个远程代码执行漏洞(CVE-2019-5096)和一个拒绝服务漏洞(CVE...

    绿盟科技安全情报
  • 几个命令了解ELF文件的”秘密“

    在Linux中,可执行文件的格式是ELF格式,而有一些命令可以帮助我们了解它们更多的“秘密”,以此来帮助我们解决问题。

    编程珠玑
  • [737]flask之flask-script

    Flask-Scropt插件为在Flask里编写额外的脚本提供了支持。这包括运行一个开发服务器,一个定制的Python命令行,用于执行初始化数据库、定时任务和其...

    周小董
  • Flask之flask-script

    Flask-Scropt插件为在Flask里编写额外的脚本提供了支持。这包括运行一个开发服务器,一个定制的Python命令行,用于执行初始化数据库、定时任务和其...

    人生不如戏
  • [译] 调试神经网络的清单

    众所周知,机器学习代码很难调试。就连简单的前馈神经网络,您也经常需要围绕网络架构、权重值初始化和网络优化做出决策 - 所有这些都可能导致机器学习代码中隐藏BUG...

    云水木石
  • 如何让你的程序支持管道输入

    其实很简单,管道是通过stdin和stdout来传给程序的。

    雷大亨
  • C语言程序编译成可执行文件的过程

    现在我们将执行以下命令将源文件(hello.c)转化为可执行目标文件(hello):

    魔王卷子
  • MAT内存分析工具使用

    itliusir

扫码关注云+社区

领取腾讯云代金券