云安详日报200819：Apache发明重要裂痕，可窃守信息，节制体系，必要尽快进级

Apache HTTP Server（简称Apache）是Apache软件基金会的一个开放源码的网页处事器，可以在大大都计较机操纵体系中运行，因为其多平台和安详性被普及行使，是最风行的Web处事器端软件之一。不外Apache多款产物爆出了重要裂痕.以下是裂痕详情:

一.Apache Solr搜刮处事器

Apache Solr是美国阿帕奇（Apache）软件基金会的一款基于Lucene（一款全文搜刮引擎）的搜刮处事器。该产物支持层面搜刮、垂直搜刮、高亮表现搜刮功效等。 Apache Solr 8.6.0版本中存在安详裂痕。进攻者可操作该裂痕对Solr用户可会见的恣意地点举办读写操纵。

裂痕详情

来历：

https://lists.apache.org/thread.html/rf54e7912b7d2b72c63ec54a7afa4adcbf16268dcc63253767dd67d60%40%3Cgeneral.lucene.apache.org%3E

信息泄漏裂痕（CVE-2020-13941）

进攻者可借助特制的HTTP哀求操作该裂痕绕过身份验证。该裂痕应承进攻者从长途文件加载完全替代索引数据，可窃取用户敏感信息，节制体系。

受影响产物

此裂痕影响Apache Solr 8.6.0版本。

办理方案

进级至Apache SOLR-14561（public）可修复

二.Apache Shiro安详框架

Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话打点的Java安详框架。进攻者可借助特制的HTTP哀求操作该裂痕绕过身份验证。

裂痕详情

来历：

https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E

信息泄漏裂痕（CVE-2020-13933）

Apahce Shiro 因为处理赏罚身份验证哀求时堕落 存在 权限绕过裂痕，长途进攻者可以发送特制的HTTP哀求，绕过身份验证进程并得到对应用措施的未授权会见。该裂痕应承进攻者窃取用户敏感信息，节制体系。

受影响产物

此裂痕影响Apache Shiro 1.6.0之前全部版本。

办理方案

进级至Apache Shiro 1.6.0或更高版本可修复

三.Apache Struts开源框架

Apache Struts是Apache软件基金会的一个开源项目，是一套用于建设企业级Java Web应用的开源MVC框架，首要提供两个版本框架产物，Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.5.20版本中存在安详裂痕。进攻者可借助特制的哀求操作该裂痕执行代码。

裂痕详情

来历：

https://cwiki.apache.org/confluence/display/ww/s2-059

1. 代码执行裂痕(CVE-2019-0230)

进攻者可借助特制的哀求操作该裂痕执行代码。

2.拒绝处事裂痕(CVE-2019-0233)

进攻者可通过哄骗哀求操作该裂痕造成拒绝处事。

受影响产物

此裂痕影响Apache Struts 2.0.0版本至2.5.20版本。

办理方案

进级至Apache Struts 2.5.22或更高版本可修复

查察更多裂痕信息 以及进级请会见官网：

http://www.apache.org/security/projects.html

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!