Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。不过Apache多款产品爆出了重要漏洞.以下是漏洞详情:
一.Apache Solr搜索服务器
Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 8.6.0版本中存在安全漏洞。攻击者可利用该漏洞对Solr用户可访问的任意地址进行读写操作。
漏洞详情
来源:
https://lists.apache.org/thread.html/rf54e7912b7d2b72c63ec54a7afa4adcbf16268dcc63253767dd67d60%40%3Cgeneral.lucene.apache.org%3E
信息泄露漏洞(CVE-2020-13941)
攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。该漏洞允许攻击者从远程文件加载完全替换索引数据,可窃取用户敏感信息,控制系统。
受影响产品
此漏洞影响Apache Solr 8.6.0版本。
解决方案
升级至Apache SOLR-14561(public)可修复
二.Apache Shiro安全框架
Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。
https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E
信息泄露漏洞(CVE-2020-13933)
Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。该漏洞允许攻击者窃取用户敏感信息,控制系统。
受影响产品
此漏洞影响Apache Shiro 1.6.0之前所有版本。
解决方案
升级至Apache Shiro 1.6.0或更高版本可修复
三.Apache Struts开源框架
Apache Struts是Apache软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.5.20版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞执行代码。
https://cwiki.apache.org/confluence/display/ww/s2-059
1. 代码执行漏洞(CVE-2019-0230)
攻击者可借助特制的请求利用该漏洞执行代码。
2.拒绝服务漏洞(CVE-2019-0233)
攻击者可通过操纵请求利用该漏洞造成拒绝服务。
受影响产品
此漏洞影响Apache Struts 2.0.0版本至2.5.20版本。
解决方案
升级至Apache Struts 2.5.22或更高版本可修复