欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 1009|回复: 0

[安全通知] 关于Apache Solr/Lucene高危漏洞通知

[复制链接]

210

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
32480
威望
13423
发表于 2017-10-19 11:31:48 |显示全部楼层
尊敬的腾讯云客户:
  您好!近日,腾讯云安全中心监测到Apache Solr/Lucene修复了一个0-day漏洞CVE-2017-12629(RCE,该漏洞可导致服务器被控制、数据被窃取、服务不可用该漏洞容易被外部利用,评级为高风险
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   1)Apache Solr 中lucene xml解析器未禁用外部实体,可导致黑客可通过构造恶意的XML请求来读取服务器任意文件;
   2)Apache Solr 存在命令注入漏洞,黑客可通过添加恶意的RunExecutableListene请求来执行任意命令,可导致黑客控制服务器;


【风险等级】
   高风险

【漏洞风险】
   服务器被入侵、内网被渗透

【影响版本】
   目前已知受影响版本如下:
  Apache Solr 6.x< 6.6.2、Apache Solr7.x<7.1.0

【安全版本】
   Apache Solr 6.6.2 、Apache Solr 7.1.0

【修复建议】
   如果您有使用Solr对外提供服务的业务,建议您尽快参照上述【安全版本】升级到对应的最新版本。
   Apache Solr 安全版本下载地址:
   http://www.apache.org/dyn/closer.lua/lucene/solr/6.6.2  
   http://www.apache.org/dyn/closer.lua/lucene/solr/7.1.0

【漏洞参考】
  1)http://lucene.apache.org/solr/news.html
  2)http://www.securityfocus.com/bid/101261
  3)http://openwall.com/lists/oss-security/2017/10/13/1
  4)https://bugzilla.redhat.com/show_bug.cgi?id=1501529
  5)https://access.redhat.com/security/cve/cve-2017-12629


2017/10/19
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-8-16 10:24 , Processed in 1.186383 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部