云安全日报200819：Apache发现重要漏洞，可窃取信息，控制系统，需要尽快升级

Apache HTTP Server（简称Apache）是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。不过Apache多款产品爆出了重要漏洞.以下是漏洞详情:

一.Apache Solr搜索服务器

Apache Solr是美国阿帕奇（Apache）软件基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 8.6.0版本中存在安全漏洞。攻击者可利用该漏洞对Solr用户可访问的任意地址进行读写操作。

漏洞详情

来源：

https://lists.apache.org/thread.html/rf54e7912b7d2b72c63ec54a7afa4adcbf16268dcc63253767dd67d60%40%3Cgeneral.lucene.apache.org%3E

信息泄露漏洞（CVE-2020-13941）

攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。该漏洞允许攻击者从远程文件加载完全替换索引数据，可窃取用户敏感信息，控制系统。

受影响产品

此漏洞影响Apache Solr 8.6.0版本。

解决方案

升级至Apache SOLR-14561（public）可修复

二.Apache Shiro安全框架

Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。

漏洞详情

来源：

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E

信息泄露漏洞（CVE-2020-13933）

Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。该漏洞允许攻击者窃取用户敏感信息，控制系统。

受影响产品

此漏洞影响Apache Shiro 1.6.0之前所有版本。

解决方案

升级至Apache Shiro 1.6.0或更高版本可修复

三.Apache Struts开源框架

Apache Struts是Apache软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.5.20版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞执行代码。

漏洞详情

来源：

https://cwiki.apache.org/confluence/display/ww/s2-059

1. 代码执行漏洞(CVE-2019-0230)

攻击者可借助特制的请求利用该漏洞执行代码。

2.拒绝服务漏洞(CVE-2019-0233)

攻击者可通过操纵请求利用该漏洞造成拒绝服务。

受影响产品

此漏洞影响Apache Struts 2.0.0版本至2.5.20版本。

解决方案

升级至Apache Struts 2.5.22或更高版本可修复

查看更多漏洞信息 以及升级请访问官网：

http://www.apache.org/security/projects.html

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!