- 您的需求已经提交,我们将在48小时内联系您
- 全国服务热线:400-1000-221
- 免费享受企业级云安全服务
【高危安全通告】Apache Solr SSRF与任意文件读取漏洞
2021年3月18日,安全狗应急响应中心监测到 Apache Solr存在SSRF与文件读取漏洞。
漏洞描述
Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件读取漏洞。
安全狗应急响应中心提醒Solr用户尽快采取安全措施阻止漏洞攻击。
安全通告信息
|
漏洞名称 |
Apache Solr SSRF文件读取漏洞 |
|
漏洞影响版本 |
Apache Solr <=8.8.1 |
|
漏洞危害等级 |
中危 |
|
厂商是否已发布漏洞补丁 |
否 |
|
版本更新地址 |
|
|
安全狗总预警期数 |
156 |
|
安全狗发布预警日期 |
2021年3月18日 |
|
安全狗更新预警日期 |
2021年3月18日 |
|
发布者 |
安全狗海青实验室 |
处置措施
安全版本
官方不予修复,暂无安全版本。
安全建议
1. 增加身份验证/授权,可参考官方文档:
https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html
2. 禁止Solr API 以及管理 UI 直接对公网开放。设置防火墙,以便只允许受信任的计算机和人员访问。
安全狗主机防护(云眼)漏洞扫描服务漏洞特征库日期2021-3-18之后的版本,已支持检测全网资产是否存在Apache Solr stream.url SSRF与任意文件读取漏洞。