您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
云网 补丁管理系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
【高危安全通告】Apache Solr SSRF与任意文件读取漏洞

2021年3月18日,安全狗应急响应中心监测到 Apache Solr存在SSRF与文件读取漏洞。

 

漏洞描述

Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件读取漏洞。

 

安全狗应急响应中心提醒Solr用户尽快采取安全措施阻止漏洞攻击。

 

安全通告信息

漏洞名称

Apache Solr SSRF文件读取漏洞

漏洞影响版本

Apache Solr <=8.8.1

漏洞危害等级

中危

厂商是否已发布漏洞补丁

版本更新地址

 

安全狗总预警期数

156

安全狗发布预警日期

2021年3月18日

安全狗更新预警日期

2021年3月18日

发布者

安全狗海实验室

 

处置措施

安全版本

官方不予修复,暂无安全版本。

 

安全建议

1. 增加身份验证/授权,可参考官方文档:

https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

2. 禁止Solr API 以及管理 UI 直接对公网开放。设置防火墙,以便只允许受信任的计算机和人员访问。

 

安全狗主机防护(云眼)漏洞扫描服务漏洞特征库日期2021-3-18之后的版本,已支持检测全网资产是否存在Apache Solr stream.url SSRF与任意文件读取漏洞。 


上一篇:SonicWall SMA100 两个高危漏洞
下一篇:没有了