Apache官方發(fā)布安全Solr issue，披露了一個遠(yuǎn)程反序列化代碼執(zhí)行漏洞CVE-2019-0192，危害較大。

漏洞描述

Apache Solr < 7.0.0 的版本中，允許core ConfigAPI修改jmx.serviceUrl屬性，惡意攻擊者可將其指向設(shè)定好的RMI/LDAP服務(wù)，導(dǎo)致反序列化遠(yuǎn)程代碼執(zhí)行漏洞，使用流行的ysoserial工具即可達(dá)到漏洞測試效果。

漏洞評級

CVE-2019-0192 嚴(yán)重

影響版本

Apache Solr < 7.0.0

安全建議

1、升級到Apache Solr 7.0或更高版本

2、通過使用系統(tǒng)屬性disable.configEdit = true運(yùn)行Solr，禁用ConfigAPI（如果未使用）

3、安裝SOLR-13301.patch 補(bǔ)丁，重新編譯Solr

相關(guān)鏈接

https://issues.apache.org/jira/browse/SOLR-13301