当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Apache Solr多个XML外部实体注入漏洞

信息来源:Martin Herfurt (martin.herfurt@trifinite.org)      发表日期:2013-01-01 10:07:00

 

 

Solr是一种可供企业使用的、基于Lucene的搜索服务器。

 

Apache Solr 4.1之前版本的UpdateRequestHandler for XSLT或XPathEntityProcessor允许远程攻击者通过包含外部实体声明的XML数据及实体参考执行恶意攻击,获取敏感信息或导致拒绝服务。

 

BUGTRAQ-ID:64427

CVE-ID:2012-6612

 

受影响系统:

Apache Group Solr < 4.1

 

解决办法:

厂商补丁:

 

Apache Group

------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

https://issues.apache.org/jira/browse/SOLR

 

http://svn.apache.org/viewvc/lucene/dev/branches/branch_4x/solr/CHANGES.txt?view=markup

 

https://issues.apache.org/jira/browse/SOLR-3895

 

参考信息:

https://issues.apache.org/jira/browse/SOLR-3895

http://svn.apache.org/viewvc/lucene/dev/branches/branch_4x/solr/CHANGES.txt?view=markup