云安全日报200819:Apache发现重要漏洞 可窃取信息 控制系统 需要尽快升级

Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。不过Apache多款产品爆出了重要漏洞.以下是漏洞详情:

一.Apache Solr搜索服务器

Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 8.6.0版本中存在安全漏洞。攻击者可利用该漏洞对Solr用户可访问的任意地址进行读写操作。

漏洞详情

来源:

https://lists.apache.org/thread.html/rf54e7912b7d2b72c63ec54a7afa4adcbf16268dcc63253767dd67d60@

信息泄露漏洞(CVE-2020-13941)

攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。该漏洞允许攻击者从远程文件加载完全替换索引数据,可窃取用户敏感信息,控制系统。

受影响产品

此漏洞影响Apache Solr 8.6.0版本。

解决方案

升级至Apache SOLR-14561(public)可修复

二.Apache Shiro安全框架

Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f@

信息泄露漏洞(CVE-2020-13933)

Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。该漏洞允许攻击者窃取用户敏感信息,控制系统。

受影响产品

此漏洞影响Apache Shiro 1.6.0之前所有版本。

解决方案

升级至Apache Shiro 1.6.0或更高版本可修复

三.Apache Struts开源框架

Apache Struts是Apache软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.5.20版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞执行代码。

https://cwiki.apache.org/confluence/display/ww/s2-059

1. 代码执行漏洞(CVE-2019-0230)

攻击者可借助特制的请求利用该漏洞执行代码。

2.拒绝服务漏洞(CVE-2019-0233)

攻击者可通过操纵请求利用该漏洞造成拒绝服务。

受影响产品

此漏洞影响Apache Struts 2.0.0版本至2.5.20版本。

解决方案

升级至Apache Struts 2.5.22或更高版本可修复

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年7月28日 上午10:22
下一篇 2022年7月28日 上午10:24

相关推荐

  • 仓库管理系统项目立项

    仓库管理系统项目立项 随着企业规模不断扩大,仓库管理的需求也越来越高。一个有效的仓库管理系统可以提高仓库管理的效率,减少库存损失,提高物流效率,进而提高企业的竞争力。因此,为了提升…

    科研百科 2025年6月18日
    0
  • 科研项目位次算负责人吗

    科研项目位次是否算负责人,是一个备受争议的话题。在某些情况下,科研项目的位次可以被视为负责人的体现,但在某些情况下,它可能并不足以代表负责人的能力和贡献。本文将探讨科研项目位次与负…

    科研百科 2025年5月7日
    2
  • 用友网络:数智化党建促企业高质量发展

    ●本报记者于蒙蒙 用友网络是一家服务企业数智化,且自身以数智化驱动发展的公司。基于自身优势,用友网络与生态伙伴联合推出智慧党建融合型产品“云党建”平台,服务众多企事业单位,提升党建…

    科研百科 2023年10月8日
    144
  • 亮答卷!太原2021两新党建工作提质增效(提升两新党建工作水平)

    “我们企业并不是很大,但是我们依然要响应党的号召,在能力范围内为父老乡亲们解决困难,让他们更有信心面对洪涝灾害,也希望能带动更多人和灾区乡亲风雨同舟!”清徐县青年创业者商会党支部书…

    科研百科 2024年2月3日
    100
  • 中国石油辽河油田研究院:智慧院区移动端APP部署工作稳步推进(辽河油田智慧人社app下载)

    “利用勘探开发综合研究基础平台手机移动端APP,科研人员终于能够随时随地实现业务协同了!” 4月24日,勘探开发研究院信息工程所今年重点开展的智慧院区建设工作——移动端APP部署,…

    2022年6月14日
    303
  • 二级系统集成项目管理

    二级系统集成项目管理 系统集成项目管理(二级系统集成项目管理)是一种项目管理类型的高级资格,适用于对大型、复杂的系统集成项目进行组织、计划、执行和控制。二级系统集成项目管理是系统集…

    科研百科 2025年1月26日
    0
  • 环境保护科研项目申请书

    环境保护科研项目申请书 尊敬的评审委员会: 我谨向贵委员会申请贵批准我作为主要研究人员参与一项环境保护科研项目,项目名称为:“XXX”。 该项目旨在解决XXX环境问题,例如XXX、…

    科研百科 2025年5月3日
    1
  • 南通项目报备管理系统

    南通项目报备管理系统 随着项目开发过程的不断推进,项目报备管理系统已经成为了项目开发中不可或缺的一部分。南通项目报备管理系统是一款专门为南通地区项目开发团队设计开发的报备管理系统,…

    科研百科 2024年12月26日
    0
  • 化学类科研项目名称大全

    化学类科研项目名称大全 随着现代科学的发展,化学领域涉及了许多令人兴奋的研究课题。从研究化学反应到探索新材料,从研究物质的性质到研究能源的利用,化学类科研项目的名称涵盖了许多不同的…

    科研百科 2025年4月25日
    1
  • 项目经理分为哪几种类型(项目经理的类型包括哪些)

    现在也有很多想要从事项目管理或正在从事项目管理的同学打算考取PMP的证书。   而考取PMP证书的过程,想必很多已经考过的同学都深有体会。   备考PMP的过程,离不开大量的背诵和…

    2022年6月6日
    277