云安全日报200819:Apache发现重要漏洞,可窃取信

[field:title/]-[field:global.cfg_keywords/]



  Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。不过Apache多款产品爆出了重要漏洞.以下是漏洞详情:

  一.Apache Solr搜索服务器

  Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 8.6.0版本中存在安全漏洞。攻击者可利用该漏洞对Solr用户可访问的任意地址进行读写操作。

  漏洞详情

  来源:

  https://lists.apache.org/thread.html/rf54e7912b7d2b72c63ec54a7afa4adcbf16268dcc63253767dd67d60%40%3Cgeneral.lucene.apache.org%3E

  信息泄露漏洞(CVE-2020-13941)

  攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。该漏洞允许攻击者从远程文件加载完全替换索引数据,可窃取用户敏感信息,控制系统。

  受影响产品

  此漏洞影响Apache Solr 8.6.0版本。

  解决方案

  升级至Apache SOLR-14561(public)可修复

  二.Apache Shiro安全框架

  Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。

  漏洞详情

  来源:

  https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E

  信息泄露漏洞(CVE-2020-13933)

  Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。该漏洞允许攻击者窃取用户敏感信息,控制系统。

  受影响产品

  此漏洞影响Apache Shiro 1.6.0之前所有版本。

  解决方案

  升级至Apache Shiro 1.6.0或更高版本可修复

  三.Apache Struts开源框架

  Apache Struts是Apache软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.5.20版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞执行代码。

  漏洞详情

  来源:

  https://cwiki.apache.org/confluence/display/ww/s2-059

  1. 代码执行漏洞(CVE-2019-0230)

  攻击者可借助特制的请求利用该漏洞执行代码。

  2.拒绝服务漏洞(CVE-2019-0233)

  攻击者可通过操纵请求利用该漏洞造成拒绝服务。

  受影响产品

  此漏洞影响Apache Struts 2.0.0版本至2.5.20版本。

  解决方案

  升级至Apache Struts 2.5.22或更高版本可修复

  查看更多漏洞信息 以及升级请访问官网:

  http://www.apache.org/security/projects.html