Apache Solr是一个使用Java语言开发的开源的搜索服务。4月13日,Apache Solr官方发布了安全更新,修复其搜索服务中发现的敏感信息泄漏等重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://www.mail-archive.com/announce@apache.org/msg06481.html?spm=a2c4g.11174386.n2.4.50001051PUWidH
1.CVE-2021-29262 严重程度:重要
错误的使用Zookeeper ACL可能导致配置的身份验证和授权设置泄漏
2.CVE-2021-27905 严重程度:重要
Solr中存在带有复制处理程序的SSRF(服务端请求为伪造)漏洞
3.CVE-2021-29943 严重程度:重要
Apache Solr非特权用户可能能够对集合执行未授权的读取/写入。使用ConfigurableInternodeAuthHadoopPlugin进行身份验证时,8.8.2之前的Apache Solr版本将转发/代理分发使用服务器凭据而不是原始客户端的请求证书。这将导致在接收主机上错误的授权解析。
受影响产品和版本
上述漏洞影响Apache Solr 8.8.2之前版本
解决方案
升级至Apache Solr 8.8.2版本可修复
查看更多漏洞信息 以及升级请访问官网:
https://www.mail-archive.com/announce@apache.org/
