首页 > 清静研究 > 清静转达 > 清静通告

Apache Solr Deserialization 远程代码执行误差清静通告

宣布时间 2019-03-13

误差编号和级别

CVE编号：CVE-2019-0192，，，，危险级别：高危，，，， CVSS分值：官方未评定

影响规模

受影响版本：

Apache Solr 5.0.0 to 5.5.5

Apache Solr 6.0.0 to 6.6.5

误差概述

Apache Solr是一个开源的搜索效劳器。。。。。。具有高度可靠、可伸缩和容错的，，，，提供漫衍式索引、复制和负载平衡盘问、自动故障转移和恢复、集中设置等功效。。。。。。

Solr为天下上许多最大的互联网站点提供搜索和导航功效。。。。。。Solr 使用 Java 语言开发，，，，主要基于 HTTP 和 Apache Lucene 实现。。。。。。

Apache Solr 中存储的资源是以 Document 为工具举行存储的。。。。。。每个文档由一系列的 Field 组成，，，，每个 Field 体现资源的一个属性。。。。。。Solr 中的每个 Document 需要有能唯一标识其自身的属性，，，，默认情形下这个属性的名字是 id，，，，在 Schema 设置文件中使用：<uniqueKey>id</uniqueKey>举行形貌。。。。。。

该误差实质是ConfigAPI允许通过HTTP POST请求设置Solr的JMX效劳器。。。。。。攻击者可以通过ConfigAPI将其设置指向恶意RMI效劳器，，，，使用Solr的不清静反序列化来触发Solr端上的远程代码执行。。。。。。

现在据统计，，，，在全球规模内对互联网开放Apache Solr的资产数目多达15万台，，，，其中归属中国地区的受影响资产数目为2万以上。。。。。。

误差剖析

Apache Solr中的ConfigAPI允许设置一个jmx.serviceUrl，，，，它将建设一个新的JMXConnectorServerFactory，，，，并通过“绑定”操作触发对目的RMI/LDAP效劳器的挪用。。。。。。恶意的RMI效劳器可以响应恣意的工具，，，，这些工具将在Solr端使用java的ObjectInputStream反序列化，，，，这被以为是不清静的。。。。。。这种类型的误差可以使用ysoserial工具。。。。。。凭证目的类路径，，，，攻击者可以使用其中一个“gadget chain”来触发Solr端上的远程代码执行。。。。。。

首先需要相识一下configAPI，，，，他主要功效是检索或修改设置。。。。。。 GET认真检索，，，，POST认真执行下令。。。。。。通过传入set-property属性，，，，结构恶意的数据，，，，传入指向恶意的rmi效劳器的链接，，，，笼罩之前效劳器的原设置，，，，使得目的效劳器与攻击者的恶意rmi效劳器相连，，，，攻击者可以使用ysoserial工具，，，，通过rmi效劳器向远端目的效劳器发送下令，，，，并在目的效劳器上执行，，，，实现远程下令执行。。。。。。

误差触发点在JmxMonitoredMap.class中的newJMXConnectorServer函数中，，，，此函数可以让效劳器与新的rmi效劳器相毗连，，，，并且每次挪用此函数都会爆发一个差别的工具。。。。。。以是当攻击者通过笼罩传入自己的rmi效劳器地点，，，，目的效劳器就会与之相连，，，，执行内部的下令。。。。。。

代码如下：

复现如下：

下载Apache Solr 5.5.3版本作为靶机（注重，，，，一定要使用jre7u25以下jre），，，，执行solr -e techproducts -Dcom.sun.management.jmxremote指令开启效劳。。。。。。

使用ysoserial工具，，，，执行Java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12363 Jdk7u21 "calc"指令，，，，监听12363端口。。。。。。然后传入以下数据：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

乐成弹出盘算器，，，，如图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

修复建议

Apache Solr官方已经在Apache Solr 7.0 及之后版本修复了该误差，，，，用户可以更新至Apache Solr 7.0 及之后版本：http://mirror.bit.edu.cn/apache/lucene/solr/。。。。。。

Apache Solr官方已经宣布了SOLR-13301.patch 补丁，，，，用户需要装置补丁后重新编译Solr，，，，补丁地点：https://issues.apache.org/jira/secure/attachment/12961503/SOLR-13301.patch。。。。。。

参考链接

https://issues.apache.org/jira/browse/SOLR-13301

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究