【漏洞预警】Apache Solr远程代码执行漏洞(CVE-2019-12409)预警通告

预警编号:NS-2019-0050

2019-11-19

1

漏洞概述

当地时间11月18日，Apache Solr官方发布通告披露了一个远程代码执行漏洞（CVE-2019-12409），此漏洞因solr.in.sh配置文件中的ENABLE_REMOTE_JMX_OPTS配置项默认为开启导致存在安全风险。

如果使用受影响Solr版本中的默认solr.in.sh配置文件，那么将启用JMX监视并将其公开在RMI端口上（默认为18983），且无需进行任何身份验证。如果防火墙中的入站流量打开了此端口，则只要具有Solr节点网络访问权限就能够访问JMX，并且可以上传恶意代码在Solr服务器上执行，请相关用户对此漏洞进行排查与防护。

参考链接：

https://lucene.apache.org/solr/news.html

https://issues.apache.org/jira/browse/SOLR-13647

SEE MORE →

2影响范围

受影响版本

• Apache Solr 8.1.1
• Apache Solr 8.2.0

注：该漏洞仅对Linux系统的Solr有影响，在Windows系统中不受影响。

3漏洞检测

3.1 人工检测

在Solr管理后台Dashboard仪表盘中，可查看当前Solr的版本信息。若Solr的版本在受影响范围内，则可能存在安全风险。

若solr.in.sh配置文件中的ENABLE_REMOTE_JMX_OPTS配置项为“true”，则可能受该漏洞影响。

4漏洞防护

目前Apache Solr官方尚未发布新版本修复该漏洞，请受影响用户保持关注。

https://lucene.apache.org/solr/

4.1 临时缓解措施

Apache Solr官方提供了以下缓解措施：

1、将Solr安装目录/bin文件夹下的solr.in.sh 配置文件中的“ENABLE_REMOTE_JMX_OPTS”="true"配置项改为 “false”，然后重启Solr。

2、同时，应确认在Solr的管理员界面中的“Java Properties”选项中不包含 “com.sun.management.jmxremote*”的相关属性信息。

3、限制Solr的公网访问，只允许可信流量与Solr建立通信。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。