2019年3月7日,阿里云云盾应急响应中心监测到Apache官方发布的关于Solr的安全公告。通过调用Config API修改jmx.serviceUrl属性指向恶意的RMI服务,导致Apache Solr出现远程反序列化代码执行的安全漏洞。

漏洞编号

CVE-2019-0192

漏洞名称

Apache Solr jmx.serviceUrl远程反序列化代码执行漏洞

漏洞描述

Config API接口允许通过发送HTTP POST请求配置Apache Solr的JMX服务器,修改jmx.serviceUrl的属性。恶意攻击者通过将其指向恶意的RMI服务器,可以利用Solr的不安全的反序列化触发远程代码执行。
jmx.serviceUrl

影响范围

  • Apache Solr 5.00至5.5.5版本
  • Apache Solr 6.00至6.6.5版本版本

官方解决方案

  • 将您的Apache Solr升级至7.0或以上版本。
  • 通过修改配置disable.configEdit=true,禁用Config API接口。
  • 在网络层确保仅放行受信任的流量访问Solr服务器。
如果升级版本或禁用Config API都不可行,请申请官方补丁并重新编译Solr。

防护建议

如果您暂时不希望通过升级Solr版本解决该漏洞,建议您使用Web应用防火墙的精准访问控制功能对您的业务进行防护。

通过精准访问控制功能,限制包含特定JSON数据(service:jmx:rmi)的POST请求,拦截利用该漏洞发起的远程代码执行攻击请求。
编辑规则

更多信息

安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击,详情请关注安全管家服务