风险通告】Apache Solr SSRF与任意文件读取漏洞
发布时间:2021-03-18 00:00:00
3月18日,金山云安全应急响应中心监测到Apache Solr存在SSRF与任意文件读取漏洞。
该漏洞暂无安全补丁,建议Apache Solr用户及时采取安全措施,避免遭受恶意攻击。
漏洞描述
Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件读取漏洞。
影响版本
Apache Solr所有版本
修复建议
该漏洞暂无安全补丁,可采取如下安全措施:
1. 增加身份验证/授权(可参考官方文档),设置防火墙,限制访问来源,仅允许可信的计算机和人员访问。
https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html
2. 将组建安装到内网。
参考链接:
[1] https://issues.apache.org/jira/browse/SOLR
北京金山云网络技术有限公司
2021年3月18日
以上就是金山云为您带来的风险通告】Apache Solr SSRF与任意文件读取漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。