中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于Apache Solr 环境变量信息泄漏漏洞(CVE-2023-50290)的安全告知

时间:2024-02-08 11:41:47来源:信息安全部作者:开yun体育官网入口

Apache Solr是一个开源搜索服务器,使用Java语言开发,主要基于HTTP和Apache Lucene实现。

漏洞详情
Apache Solr 是一款开源的搜索引擎,在Apache Solr受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量,在默认无认证或具有metrics-read权限的情况下,攻击者可以通过向 metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,导致敏感信息泄漏。

影响范围
9.0.0 <= Apache Solr < 9.3.0

漏洞复现
solr.jpg

修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本(其中环境变量不再通过Metrics API发布):
Apache Solr >= 9.3.0
下载链接:
https://solr.apache.org/downloads.html

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
[1]https://issues.apache.org/jira/browse/SOLR-16808
[2]https://issues.apache.org/jira/browse/SOLR-15019

XML 地图