Uma vulnerabilidade de segurança foi descoberta em lucene-solr, um servidor de pesquisa corporativa. O DataImportHandler, um módulo opcional, mas popular para extrair dados
- ------------------------------------------------- ----------------------
Consultivo Debian LTS DLA-2327-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Markus Koschany
15 de agosto de 2020 htps: //wiki.debian.org/LTS
- ------------------------------------------------- ------------------------
Pacote: lucene-solr
Versão: 3.6.2 + dfsg-10 + deb9u3
ID CVE: CVE-2019-0193
Uma vulnerabilidade de segurança foi descoberta em lucene-solr, uma empresa
servidor de pesquisa.
O DataImportHandler, um módulo opcional, mas popular para extrair dados
de bancos de dados e outras fontes, tem um recurso em que todo o DIH
a configuração pode vir do parâmetro "dataConfig" de uma solicitação. o
modo de depuração da tela de administração DIH usa isso para permitir
depuração / desenvolvimento de uma configuração DIH. Uma vez que uma configuração DIH pode conter
scripts, este parâmetro é um risco de segurança. A partir de agora, use
deste parâmetro requer a configuração da propriedade do sistema Java
"enable.dih.dataConfigParam" para true. Por exemplo, isso pode ser alcançado
com solr-tomcat adicionando -Denable.dih.dataConfigParam = true para
JAVA_OPTS em / etc / default / tomcat8.
Para Debian 9 stretch, este problema foi corrigido na versão
3.6.2 + dfsg-10 + deb9u3.
Recomendamos que você atualize seus pacotes lucene-solr.
Para o status de segurança detalhado de lucene-solr, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/lucene-solr
Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
Fonte
Até a apróxima !
Nenhum comentário:
Postar um comentário