UCloud-201710-002:Apache Solr/Lucene 0Day远程代码执行漏洞安全预警 – U刻

UCloud-201710-002:Apache Solr/Lucene 0Day远程代码执行漏洞安全预警 – U刻

UCloud-201710-002:Apache Solr/Lucene 0Day远程代码执行漏洞安全预警

UCloud-201710-002:Apache Solr/Lucene 0Day远程代码执行漏洞安全预警

云安全团队

2017.10.20
栏目：安全资讯

尊敬的UCloud用户:

近日，Apache Solr/Lucene修复了一个0-day漏洞，该漏洞可能导致运程代码执行、信息泄露，危害严重。请及时检查您所使用的Apache Solr是否受影响，并采取安全防御措施。

影响范围

Solr 5.5.0 to 5.5.4

Solr 6.0.0 to 6.6.1

Solr 7.0.0 to 7.0.1

修复方案

1)使用UEWAF进行安全防御；

2)升级到官方提供的安全修复版本：

Solr 6.6.2

Solr 7.1.0

漏洞详情

CVE-2017-12629：Apache Solr存在XXE和RCE漏洞：

1）lucene xml解析器没有明确禁止doctype 外部实体的声明，黑客可通过构造恶意的XML请求来读取服务器任意文件，导致信息泄露。

2）Apache Solr“RunExecutableListener”类可以通过恶意的请求来执行任意操作，导致服务器被控制。

参考链接

https://issues.apache.org/jira/browse/SOLR-11482

https://issues.apache.org/jira/browse/SOLR-11477

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章