风险公告】Apache Solr SSRF与肆意文件读取缝隙
2021-03-18 00:00:00
3月18日�,�,,234钱包安全应急响应中心监测到Apache Solr存在SSRF与肆意文件读取缝隙�。�。�。
该缝隙暂无安全补丁�,�,,建议Apache Solr用户实时采取安全措施�,�,,预防遭逢恶意攻击�。�。�。
缝隙描述
Apache Solr是一个开源的搜索服务�,�,,使用Java说话开发�。�。�。Apache Solr的某些职能存在过滤不严格�,�,,在Apache Solr未开启认证的情况下�,�,,攻击者可直接机关特定要求开启特定配置�,�,,并最终造成SSRF或文件读取缝隙�。�。�。
影响版本
Apache Solr所有版本
修复建议
该缝隙暂无安全补丁�,�,,可采取如下安全措施�:
1. 增长身份验证/授权(可参考官方文档)�,�,,设置防火墙�,�,,限度接见起源�,�,,仅允许可信的推算机和人员接见�。�。�。
https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html
2. 将组建装置到内网�。�。�。
参考链接�:
[1] https://issues.apache.org/jira/browse/SOLR
北京234钱包网络技术有限公司
2021年3月18日