apache漏洞 可致服务器远程执行恶意代码



       apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该

漏洞产生的主要原因是因为apache dataimporthandler数据外部收集的
一个端口模块,该模块

支持从远程的地址进行通信,并多数据进行收集,正因为开
放了远程地址,可导致攻击者构造

恶意的代码对DIH进行脚本注入,从而让后端服
务器对恶意代码进行了执行,该漏洞可导致服

务器被攻击,被入侵,关于该漏洞的
详情我们SINE安全技术深入的带大家来分析:

 
apache这个漏洞影响范围较广低于solr 8.2.0版本的都会受到漏洞的影响与攻击,本身这个solr

模块就支持从远程的地址进行数据的收集与导入功能,当用户对
dataimport进行使用的时候首

先会调用handleRequestBody类,并将请求的模块进
行重新配置,默认代码会对params.getD

ataConfig()参数里post值进行判断,当值
为空就不会加载dataconfig里的配置,截图如下:

 
紧接着加载配置,对post值的相关参数进行赋值,像script,datasoure,document等变量进行

赋值,post里的script自定义的参数会自动存入变量中,然后
返回数据并保存,进行导入数据。
 

 
漏洞的产生就在这个script里,攻击者构造恶意的代码在script里,当dofulldump对齐解析并正

则式的进行值转换,导致恶意代码被执行,这个script可以写入很多
java的类,apache并没有

对内容进行安全过滤与限制,导致可以注入任意的恶意代
码,使其服务器进行执行。我们构

造了一个执行计算器的POC,我们截图看下利用
的效果:

 
那么该如何修复apache漏洞呢?
 
首先请各位网站,服务器的运维人员对当前的apache solr版本继续查看,登录solr的控制面

板,可以查看到当前的版本,如果低于8.2.0,说明存在漏洞,将
solr的版本升级到最新版本

,也可以对apache配置文件进行修改,文件名是
solrconfig.xml,配置文件里的datainport值

都注释掉,关闭这个数据收集功能,
有些网站,APP可能会使用到这个功能,在关闭后请检

查网站的正常功能,是否收
到影响,没有影响就关闭即可,关于该漏洞的修复与安全加固

就到这里,愿我们的
分享,能够帮助到更多使用apache solr的公司。
分享: