Apache搜索服务器Solr及全文搜索工具包Lucene被爆信息泄露漏洞及远程代码执行漏洞,CVE编号 CVE-2017-12629 。该问题是由于Apache相关功能的设计错误所导致的,Apache Solr 6.0-6.6.1中多个版本受影响。该漏洞还影响Redhat Linux6.2多个版本, Redhat JBoss多个产品,Trustix Secure Linux 2.2-2.0多个版本,详细信息见后。
Apache Solr是什么
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。Solr是一个高性能,采用Java5开发,基于Lucene的全文搜索服务器。Solr是一个独立的企业级搜索应用服务器,目前很多企业运用solr开源服务。
Lucene是apache软件基金会4 jakarta项目组的一个子项目,是一个开放源代码的全文检索引擎工具包,但它不是一个完整的全文检索引擎,而是一个全文检索引擎的架构,提供了完整的查询引擎和索引引擎,部分文本分析引擎(英文与德文两种西方语言)。Lucene的目的是为软件开发人员提供一个简单易用的工具包,以方便的在目标系统中实现全文检索的功能,或者是以此为基础建立起完整的全文检索引擎。
Apache Solr/Lucene信息泄露漏洞及远程代码执行漏洞 CVE-2017-12629
SecurityFocus评价
Apache Solr及Lucene比较容易出现信息泄露漏洞及 远程代码执行漏洞 。攻击者利用该漏洞可以获取敏感信息,或者在受影响应用程序上下文中 执行任意代码漏洞 。
| Bugtraq ID: | 101261 |
| Class: | Design Error |
| CVE: | CVE-2017-12629 |
| Remote: | Yes |
| Local: | No |
| Published: | Oct 12 2017 12:00AM |
| Updated: | Oct 12 2017 12:00AM |
| Credit: | Michael Stepankin from JPMorgan Chase and Olga Barinova from Gotham Digital Science |
| Vulnerable: |
Redhat Single Sign-On 7.0 [出自:jiwo.org] + Redhat Linux 6.2 E sparc + Redhat Linux 6.2 E i386 + Redhat Linux 6.2 E alpha + Redhat Linux 6.2 sparc + Redhat Linux 6.2 i386 + Redhat Linux 6.2 alpha Redhat JBoss Portal Platform 6 Redhat JBoss EAP 7 0 Redhat Jboss EAP 6 Redhat JBoss Data Grid 7.0.0 Redhat Enterprise Linux 6 + Trustix Secure Enterprise Linux 2.0 + Trustix Secure Linux 2.2 + Trustix Secure Linux 2.1 + Trustix Secure Linux 2.0 Redhat Collections for Red Hat Enterprise Linux 0 Apache Solr 6.6.1 Apache Solr 6.6 Apache Solr 6.5.1 Apache Solr 6.5 Apache Solr 6.4 Apache Solr 6.3 Apache Solr 6.2 Apache Solr 6.6 Apache Solr 6.3 Apache Solr 6.0 Apache Lucene 0 |
| Not Vulnerable: | |
