Apach Solr JMX配置默认开启导致远程命令执行漏洞

Posted 飓风网络安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Apach Solr JMX配置默认开启导致远程命令执行漏洞相关的知识,希望对你有一定的参考价值。

2019年11月19日,飓风安全实验室监测到Apache Solr官方披露某些版本的Solr由于存在错误的默认配置,导致攻击者利用该漏洞可以直接获取服务器权限。


漏洞描述

部分版本的Solr的默认配置文件中开启了ENABLE_REMOTE_JMX_OPTS选项。该配置将开启JMX监控,同时对外开启RMI_PORT端口(默认情况下为18983)。攻击者在无需认证的情况下可以通过该JMX端口进行反序列化操作,直接获取到服务器权限。飓风安全实验室提醒Solr用户尽快采取安全措施阻止漏洞攻击。


影响版本

Linux Solr 8.1.1,8.2.0

Windows用户不受影响


安全建议

1. 官方暂未发布新版本,请关注Apache Solr官方以便获取更新信息 https://lucene.apache.org/solr/downloads.html

2. 设置配置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS值为false后重启Solr

同时,用户应确认在Solr的管理员界面中的“Java Properties”选项中不包含 “com.sun.management.jmxremote*”的相关属性信息。
用户并不需要升级或更新任何代码。

更多信息请参考官方通告:
https://lucene.apache.org/solr/news.html


以上是关于Apach Solr JMX配置默认开启导致远程命令执行漏洞的主要内容,如果未能解决你的问题,请参考以下文章

Apache Solr JMX服务远程代码执行漏洞复现

Apache Solr JMX服务 RCE 漏洞复现

zabbix 监控solr

如何通过JMX远程监控Solr?

Zookeeper开启JMX服务

安全漏洞 Apache Solr JMX服务远程代码执行漏洞