一、概要

近日，華為云關(guān)注到Apache Solr官方發(fā)布安全公告，披露在特定的Solr版本中ConfigSet API存在未授權(quán)上傳漏洞（CVE-2020-13957），攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用Apache Solr的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.mail-archive.com/announce@apache.org/msg06149.html

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Solr 6.6.0 to 6.6.5

Apache Solr 7.0.0 to 7.7.3

Apache Solr 8.0.0 to 8.6.2

安全版本:

Apache Solr >= 8.6.3

四、漏洞處置

受影響的用戶可參考以下任一項(xiàng)措施修復(fù)漏洞：

1、如果未使用ConfigSets API，則通過將系統(tǒng)屬性設(shè)置為“ configset.upload.enabled”設(shè)置為“ false”來禁用UPLOAD命令。參考：https://lucene.apache.org/solr/guide/8_6/configsets-api.html

2、使用身份驗(yàn)證/授權(quán)來確保未知的請求不會(huì)被允許訪問。參考：https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3、升級到8.6.3及以上的安全版本。

4、如果不能進(jìn)行升級，請考慮在SOLR-14663公告中的應(yīng)用補(bǔ)丁。參考：https://issues.apache.org/jira/browse/SOLR-14663

5、將Solr API（包括Admin UI）僅對可信的IP或用戶開放。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。