Apache SolR是一个使用Java语言开发的开源的搜索服务。4月13日,Apache SolR官方发布了安全更新,修复其搜索服务中发现的敏感信息泄漏等重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2021-29262 严重程度:重要
错误的使用ZookeepeR ACL可能导致配置的身份验证和授权设置泄漏
2.CVE-2021-27905 严重程度:重要
SolR中存在带有复制处理程序的SSRF(服务端请求为伪造)漏洞
3.CVE-2021-29943 严重程度:重要
Apache SolR非特权用户可能能够对集合执行未授权的读取/写入。使用ConfiguRablEINteRnodeAuthHadoopplugin进行身份验证时,8.8.2之前的Apache SolR版本将转发/代理分发使用服务器凭据而不是原始客户端的请求证书。这将导致错误的授权解析。
受影响产品和版本
上述漏洞影响Apache SolR 8.8.2之前版本
解决方案
升级至Apache SolR 8.8.2版本可修复