漏洞信息详情
Apache Solr ‘SolrResourceLoader’目录遍历漏洞
- CNNVD编号:CNNVD-201311-443
- 危害等级: 中危
- CVE编号: CVE-2013-6397
- 漏洞类型: 路径遍历
- 发布时间: 2013-11-29
- 威胁类型: 远程
- 更新时间: 2013-12-09
- 厂 商: apache
- 漏洞来源: Uwe Schindler
漏洞简介
Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一个全文检索引擎的架构)的搜索服务器,它支持层面搜索、垂直搜索、高亮显示搜索结果、多种输出格式等。
Apache Solr 4.6之前的版本中的SolrResourceLoader类中存在目录遍历漏洞。远程攻击者可通过tr参数中的目录遍历字符(‘..’)或完整的路径名利用该漏洞读取任意文件,泄露敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://issues.apache.org/jira/browse/SOLR-4882
参考网址
来源: issues.apache.org
链接:https://issues.apache.org/jira/browse/SOLR-4882
来源: MLIST
名称: [oss-security] 20131126 Re: CVE request: Apache Solr 4.6.0
链接:http://www.openwall.com/lists/oss-security/2013/11/27/1
来源: www.agarri.fr
链接:http://www.agarri.fr/kom/archives/2013/11/27/compromising_an_unreachable_solr_server_with_cve-2013-6397/index.HTML
来源: SECUNIA
名称: 55730
链接:http://secunia.com/advisories/55730
来源: lucene.apache.org
链接:http://lucene.apache.org/solr/4_6_0/changes/Changes.HTML
来源: BID
名称: 63935
链接:http://www.securityfocus.com/bid/63935
受影响实体
- Apache Solr:4.5.1
- Apache Solr:4.5.0
- Apache Solr:4.4.0
- Apache Solr:4.3.1
- Apache Solr:4.3.0
补丁
- solr-4.6.0
评论