您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用
【高危安全通告】Apache Solr SSRF与任意文件读取漏洞
作者:
发布时间:2021-03-18

2021年3月18日,安全狗应急响应中心监测到 Apache Solr存在SSRF与文件读取漏洞。

 

漏洞描述

Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件读取漏洞。

 

安全狗应急响应中心提醒Solr用户尽快采取安全措施阻止漏洞攻击。

 

安全通告信息

漏洞名称

Apache Solr SSRF文件读取漏洞

漏洞影响版本

Apache Solr <=8.8.1

漏洞危害等级

中危

厂商是否已发布漏洞补丁

版本更新地址

 

安全狗总预警期数

156

安全狗发布预警日期

2021年3月18日

安全狗更新预警日期

2021年3月18日

发布者

安全狗海实验室

 

处置措施

安全版本

官方不予修复,暂无安全版本。

 

安全建议

1. 增加身份验证/授权,可参考官方文档:

https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

2. 禁止Solr API 以及管理 UI 直接对公网开放。设置防火墙,以便只允许受信任的计算机和人员访问。

 

安全狗主机防护(云眼)漏洞扫描服务漏洞特征库日期2021-3-18之后的版本,已支持检测全网资产是否存在Apache Solr stream.url SSRF与任意文件读取漏洞。