【漏洞预警】Solr /admin/info/properties敏感信息泄漏漏洞CVE-2023-50291

cexlife 飓风网络安全 2024-02-16 22:29

漏洞描述:ApacheSolr是一款开源的搜索引擎,受影响版本Solr中/admin/info/properties API会将包含password名称的属性值替换为–REDACTED–输出，仍可能存在一些敏感系统属性，如“basicauth”和“aws.secretKey”被设置时不会被过滤，导致敏感信息泄漏,在修复版本中添加了-Dsolr.hiddenSysProps属性支持，并隐藏已知敏感属性（包括“-Dbasicauth”，以及任何名称中包含“secret”或“password”的属性）,用户也可以使用以下Java系统属性来修复此问题：-Dsolr.redaction.system.pattern=.(password|secret|basicauth).影响范围:org.apache.solr:solr-core[9.0.0, 9.3.0)org.apache.solr:solr-core[6.0.0, 8.11.3)修复方案:将 org.apache.solr:solr-core 升级至 9.3.0 及以上版本使用以下Java系统属性来修复此问题：

-Dsolr.redaction.system.pattern=.(password|secret|basicauth).将 org.apache.solr:solr-core 升级至 8.11.3 及以上版本参考链接:https://solr.apache.org/security.html#cve-2023-50291-apache-solr-can-leak-certain-passwords-due-to-system-property-redaction-logic-inconsistencies