1. 首页>
  2. 资讯中心

【安全通告】Apache Solr ConfigSet API未授权上传漏洞风险公告(CVE-2020-13957)

腾讯云 2020年10月16日 浏览30

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到Apache Solr近日发布公告,修复了ConfigSet API中存在的未授权上传漏洞风险(漏洞编号:CVE-2020-13957),漏洞被利用可导致远程代码执行。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Apache Solr是Apache软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。

近日,Apache Solr官方发布公告,披露了ConfigSet API中存在未授权上传漏洞,该漏洞被利用可导致远程代码执行风险

风险等级

高风险

漏洞风险

ConfigSet Upload机制存在绕过,可被攻击者利用进行远程代码执行攻击。

影响版本

Apache Solr 6.6.0 to 6.6.5

Apache Solr 7.0.0 to 7.7.3

Apache Solr 8.0.0 to 8.6.2

安全版本

Apache Solr 8.6.3或更高版本

修复建议

官方已发布漏洞修复补丁及新版本,用户可参照如下任意一种修复方案进行修复:

1、如果未使用ConfigSets API,请禁用UPLOAD命令,方法是设置系统属性:从“configset.upload.enabled”更改为“ false” ,参考链接:https://lucene.apache.org/solr/guide/8_6/configsets-api.html

2、使用身份验证/授权,确保未知请求不被允许,参考链接:https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3、升级到Solr 8.6.3或更高版本

4、如果无法升级,请考虑应用SOLR-14663公告中的补丁,参考链接:https://issues.apache.org/jira/browse/SOLR-14663

5、不要将Solr API(包括Admin UI)暴露给不受信任的第三方,调整防火墙,确保只有受信任IP和用户才能访问

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外


1、腾讯T-Sec主机安全(云镜)漏洞库日期2020-10-13之后的版本,已支持对Apache Solr ConfigSet API中存在的未授权上传漏洞(漏洞编号:CVE-2020-13957)进行检测。

2、腾讯T-Sec云防火墙规则库2020-10-13之后的版本,已支持对Apache Solr ConfigSet API中存在的未授权上传漏洞(漏洞编号:CVE-2020-13957)的检测和拦截,当前规则库尚在灰度测试中,预计稍后会同步至所有用户。

关于腾讯T-Sec云防火墙的更多信息,可参考:https://cloud.tencent.com/product/cfw


漏洞参考

1)漏洞详情:https://issues.apache.org/jira/browse/SOLR-14663


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013