云安详日报200819:Apache发明重要裂痕,可窃守信息,节制体系,必要尽快进级
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页处事器,可以在大大都计较机操纵体系中运行,因为其多平台和安详性被普及行使,是最风行的Web处事器端软件之一。不外Apache多款产物爆出了重要裂痕.以下是裂痕详情: 一.Apache Solr搜刮处事器 Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜刮引擎)的搜刮处事器。该产物支持层面搜刮、垂直搜刮、高亮表现搜刮功效等。 Apache Solr 8.6.0版本中存在安详裂痕。进攻者可操作该裂痕对Solr用户可会见的恣意地点举办读写操纵。 裂痕详情 来历: https://lists.apache.org/thread.html/rf54e7912b7d2b72c63ec54a7afa4adcbf16268dcc63253767dd67d60%40%3Cgeneral.lucene.apache.org%3E 信息泄漏裂痕(CVE-2020-13941) 进攻者可借助特制的HTTP哀求操作该裂痕绕过身份验证。该裂痕应承进攻者从长途文件加载完全替代索引数据,可窃取用户敏感信息,节制体系。 受影响产物 此裂痕影响Apache Solr 8.6.0版本。 办理方案 进级至Apache SOLR-14561(public)可修复 二.Apache Shiro安详框架 Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话打点的Java安详框架。进攻者可借助特制的HTTP哀求操作该裂痕绕过身份验证。 裂痕详情 来历: https://lists.apache.org/thread.html/r539f87706094e79c5da0826030384373f0041068936912876856835f%40%3Cdev.shiro.apache.org%3E 信息泄漏裂痕(CVE-2020-13933) Apahce Shiro 因为处理赏罚身份验证哀求时堕落 存在 权限绕过裂痕,长途进攻者可以发送特制的HTTP哀求,绕过身份验证进程并得到对应用措施的未授权会见。该裂痕应承进攻者窃取用户敏感信息,节制体系。 受影响产物 此裂痕影响Apache Shiro 1.6.0之前全部版本。 办理方案 进级至Apache Shiro 1.6.0或更高版本可修复 三.Apache Struts开源框架 Apache Struts是Apache软件基金会的一个开源项目,是一套用于建设企业级Java Web应用的开源MVC框架,首要提供两个版本框架产物,Struts 1和Struts 2。 Apache Struts 2.0.0版本至2.5.20版本中存在安详裂痕。进攻者可借助特制的哀求操作该裂痕执行代码。 裂痕详情 来历: https://cwiki.apache.org/confluence/display/ww/s2-059 1. 代码执行裂痕(CVE-2019-0230) 进攻者可借助特制的哀求操作该裂痕执行代码。 2.拒绝处事裂痕(CVE-2019-0233) 进攻者可通过哄骗哀求操作该裂痕造成拒绝处事。 受影响产物 此裂痕影响Apache Struts 2.0.0版本至2.5.20版本。 办理方案 进级至Apache Struts 2.5.22或更高版本可修复
查察更多裂痕信息 以及进级请会见官网: http://www.apache.org/security/projects.html (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |