Loading...
B站导航 B站导航

Apache Solr 未授权上传(RCE)漏洞(CVE202013957)的原理分析与验证

apache文章/教程4个月前发布 勤奋小助
0 0

–>

 聚焦源代码安全,网罗国内外最新资讯!

01

漏洞简介

Apache Solr 发布公告,旧版本的ConfigSet API 中存在未授权上传漏洞风险,被利用可能导致 RCE (远程代码执行)。

受影响的版本:

  • Apache Solr6.6.0 -6.6.5

  • Apache Solr7.0.0 -7.7.3

  • Apache Solr8.0.0 -8.6.2

安全专家建议用户尽快升级到安全版本,以解决风险。

02

漏洞原理

Solr 可运行在 SolrCloud(分布式集群模式)和 StandaloneServer(独立服务器模式)两种模式下,当以 SolrCloud 模式运行时,可通过Configset API 操作 Configsets,包括创建、删除等。

对于通过 Configset API 执行 UPLOAD 时,如果启用了身份验证(默认未开启),且该请求通过了身份验证,Solr 会为该 configset 的设置“trusted”,否则该配置集不会被信任,不被信任的 configset 无法创建collection。

但当攻击者通过 UPLOAD 上传 configset 后,再基于此configsetCREATE configset 时,Solr 不会为这个新的 configset 进行信任检查,导致可以使用未经信任检查的新 configset 创建 collection。

03

漏洞验证

一、在8.6.2版本中进行攻击尝试

1、Debug 运行8.6.2版本,默认开启在8983端口

2、使用样例构造上传的 configset

3、上传过程中触发断点

可以看到,正确识别到 configset 不值得信任(缺少身份认证)

Trust 值为 false

4、 使用上传的 configset 为母版,创建新的 configset

http://localhost:8983/solr/admin/configs?action=CREATE&name=evilconfigset4&baseConfigSet=2testConfigSet&configSetProp.immutable=false&wt=xml&omitHeader=true

无返回信息,未触发 debug

5、 在 web 控制台可以查看到,创建 evilconfigset4 成功

6、 使用直接上传的 configset(例如2testconfigset)创建 collection 会失败

7、 使用以 2testconfigset 为母版创建的 evilconfigset4,创建collection,可以成功

8、 后续可以利用创建的 collection 的内容,调用solr组件进行远程代码执行(这里不做分析)

二、 8.6.3 版本修复分析

1、 Debug 运行 8.6.3 版本

2、进行攻击尝试,类似 8.6.2 版本,上传 configset

3、触发断点

正确识别为不可信 configset

4、 使用上传的 2testconfigset 为母版,创建新的 configset

http://localhost:8983/solr/admin/configs?action=CREATE&name=evilconfigset4&baseConfigSet=2testConfigSet&configSetProp.immutable=false&wt=xml&omitHeader=true

5、触发断点

正确识别为不可信 configset(注意,在8.6.2版本中,以已上传的 configset 为母版创建新 configset 时,并不会触发检查)

6、同样可以创建 configset 成功

7、 在 web 控制台,分别使用直接上传的 configset(2testconfigset)以及创建的(evilconfigset4)新建 collection

2testconfigset:

Evilconfigset4 :

均创建失败。

 

04

参考

  • https://issues.apache.org/jira/secure/attachment/13012410/SOLR-14663.patch

  • https://issues.apache.org/jira/browse/SOLR-14663

  • https://github.com/apache/lucene-solr/commit/8f2f80bbb3c35fef036dce3162f4f03bf465e5f2

推荐阅读

Netlogon 特权提升漏洞(CVE-2020-1472)原理分析与验证

QEMU CVE-2020-14364 漏洞分析(含 PoC 演示)

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 吧~

本文来源 互联网收集,文章内容系作者个人观点,不代表 本站 对观点赞同或支持。如需转载,请注明文章来源,如您发现有涉嫌抄袭侵权的内容,请联系本站核实处理。

© 版权声明
文章版权归作者所有,未经允许请勿转载。

相关文章

org.apache.shiro.session.UnknownSessionException: There is no session with
勤奋小助
【Hadoop离线基础总结】Apache Hadoop的三种运行环境介绍及standAlone环境搭建
勤奋小助
Apache Flink 零基础入门【转】
勤奋小助
源码hadoop1.1.0coreorg.apache.hadoop
勤奋小助
java开源安全框架Apache Shiro第二天
勤奋小助
Linux apache 添加 mod_rewrite模块
勤奋小助

热门文章

微软宣布Microsoft Copilot很快将升级为OpenAI GPT-4o模型
英特尔将在晚些时候推出月亮湖芯片 搭载NPU支持微软Copilot本地加速
微软联合OEM合作伙伴推出多款Copilot+PC 深度集成AI提高效率
OpenAI正在测试免登录安卓版ChatGPT 无需注册账号即可直接对话
PayPal的日常操作:网红销售自己的洗澡水获得9万美元 然后被PayPal扣了

随机文章

相关文章

apache上http自动跳转https
0
记phpStudy安装的错误之旅(Apache红灯启动又关闭,以及Warning php start up)
0
SpringBoot:org.apache.ibatis.builder.IncompleteElementException: Could not find parameter map
0
Target runtime Apache Tomcat v7.0 is not defined.解决方法
0
深度学习框架 MXNet 成为 Apache 孵化器项目
0
B站导航 ,集网址、资源、资讯于一体的 综合网址导航站,简约优雅的设计风格,全面的前端用户功能,简单的模块化配置,欢迎您的体验

提交收录 免责声明 广告合作 关于我们 隐私政策

扫码加QQ群B站导航

扫码加QQ群

扫码加微信B站导航

扫码加微信
Copyright © 2024 B站导航 豫ICP备18041986号-6 网站地图 | 技术导航