Παρασκευή, 22 Ιανουαρίου, 02:18
Αρχική security Apache Solr: Κρίσιμη ευπάθεια επιτρέπει εκτέλεση εντολών απομακρυσμένα

Apache Solr: Κρίσιμη ευπάθεια επιτρέπει εκτέλεση εντολών απομακρυσμένα

Apache SolrΈνας ερευνητής ασφαλείας του GitHub, ο S00pY, ανακάλυψε και δημοσίευσε την ύπαρξη μιας ευπάθειας στην open-source πλατφόρμα Apache Solr. Πρόκειται για μια κρίσιμη ευπάθεια, που επιτρέπει την εκτέλεση εντολών απομακρυσμένα. Προς το παρόν, η εταιρεία πίσω από το Apache Solr δεν έχει κυκλοφορήσει κάποια ενημερωμένη έκδοση για την αντιμετώπιση της ευπάθειας.

Πληροφορίες σχετικά με την ευπάθεια

Πώς μπορεί να αξιοποιηθεί η ευπάθεια από κακόβουλους hackers;

  • Ο εισβολέας μπορεί να εκμεταλλευτεί την ευπάθεια και να αποκτήσει απευθείας πρόσβαση στην κονσόλα Solr. Αν αποκτήσει πρόσβαση, μπορεί να κάνει αλλαγές στο configuration file του κόμβου στέλνοντας ένα αίτημα POST όπως το / nodename / config.
  • Το Apache Solr έχει ενσωματωμένο το VelocityResponseWriter plugin από προεπιλογή. Το plugin διαθέτει το setting params.resource.loader.enabled, το οποίο από προεπιλογή είναι false. Όταν το params.resource.loader.enabled αλλάζει σε true, είναι δυνατή η αποστολή ειδικά διαμορφωμένων πακέτων. Όταν γίνεται αυτή η αλλαγή, ένας hacker, που έχει αποκτήσει πρόσβαση, μπορεί να εκτελέσει εντολές στον server απομακρυσμένα.

Ποιες εκδόσεις έχουν επηρεαστεί από την ευπάθεια;

Σύμφωνα με τους ελέγχους, που έχουν γίνει μέχρι τώρα, οι εκδόσεις που επηρεάζονται είναι οι Apache Solr 7.x έως 8.2.0.

Πώς θα αντιμετωπιστεί η ευπάθεια;

Όπως είπαμε και παραπάνω, η εταιρεία δεν έχει κυκλοφορήσει ακόμα κάποιο patch για τη διόρθωση της κρίσιμης ευπάθειας. Προς το παρόν, οι χρήστες της πλατφόρμας Apache Solr πρέπει να εφαρμόσουν τις βασικές πρακτικές ασφαλείας και να είναι σε επιφυλακή για να ενημερώσουν τα συστήματά τους, αμέσως μόλις κυκλοφορήσει η ενημερωμένη έκδοση.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Mac: Πώς να δείτε ποιο μοντέλο έχετε και πότε κυκλοφόρησε

Όταν χρειάζεστε υποστήριξη για το Mac σας - ή θέλετε να εγκαταστήσετε κάποιο είδος αναβάθμισης - συνήθως πρέπει να γνωρίζετε το ακριβές...
00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...