Rapport de recherche sur l'état de la recherche sur site dans l'enseignement supérieur avec The Chronicle of Higher Education | Télécharger le rapport
Annexe A Démo
Rapport de recherche sur l'état de la recherche sur site dans l'enseignement supérieur avec The Chronicle of Higher Education | Télécharger le rapport
Barre de menu
Fermer

12 décembre 2021

Dipsy Kapoor

|

2 min de lecture

CVE-2021-44228 a été initialement annoncé le Avis Github Le 10 décembre 2021, une vulnérabilité critique a affecté les versions de Log4j antérieures à la version 2.15.0. Les versions de Log4j antérieures à la version 2.15.0 sont sujettes à une vulnérabilité d'exécution de code à distance via l'analyseur JNDI LDAP.

Sécurité Solr Le site Web signale que les versions Solr 7.4.0 à 7.7.3, 8.0.0 à 8.11.0 sont affectées par la vulnérabilité Log4j.

Mise à jour de sécurité critique

Lors de l'analyse initiale par Github Advisory et NVD, il a été indiqué que « Java 8u121 (voir https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) protège contre l'exécution de code à distance en définissant par défaut « com.sun.jndi.rmi.object.trustURLCodebase » et « com.sun.jndi.cosnaming.object.trustURLCodebase » sur « false »

Depuis le 12 décembre 2021, les conseils d'atténuation ci-dessus ont été supprimés des avis GitHub et du site web NVD. L'équipe SearchStax considère cette mise à jour de sécurité comme critique et continue d'appliquer les conseils d'atténuation en ajoutant SOLR_OPTS=”$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true” aux scripts de démarrage de tous ses déploiements.

Mise à jour : 12 décembre 2021, 19 h 20 (heure du Pacifique)

Au 12 décembre 2021 à 19 h 20, heure du Pacifique des États-Unis, tous les déploiements Solr 7.4.0 et supérieurs ont été corrigés par l'équipe SearchStax. Les autres versions de Solr ne sont pas affectées par la faille CVE-2021-44228, comme indiqué dans le Sécurité Solr site web

Mise à jour : 20 décembre 2021, 23 h 40 (heure du Pacifique)

Site de sécurité Solr a été mis à jour et confirme que Solr n'est pas vulnérable aux CVE-2021-45046 et CVE-2021-45105

« Les versions d'Apache Solr sont pas vulnérable au suivi CVE-2021-45046 et CVE-2021-45105, car les modèles MDC utilisés par Solr concernent la collection, le fragment, la réplique, le noyau et les noms de nœuds, ainsi qu'un identifiant de trace potentiel, qui sont tous nettoyés et injectés dans les fichiers journaux avec «%X« . Passage de propriété système log4j2.formatMsgNoLookups=true (comme décrit ci-dessous) est approprié pour atténuer. »

Les déploiements SearchStax n'utilisent PAS JMSAppender et tous les déploiements avec des versions de Solr supérieures à 7.4.0 ont été corrigés pour inclure log4j2.formatMsgNoLookups=true

Mise à jour : 7 février 2022

SearchStax propose désormais Solr 8.11.1 qui ne présente pas cette vulnérabilité.

Si vous avez des questions, n'hésitez pas à nous contacter. support@demo.searchstax.com

Par Dipsy Kapoor

vice-président, ingénierie

« Le temps de vos développeurs est précieux. Ils devraient se concentrer sur des activités à valeur ajoutée, comme l'amélioration des expériences de recherche, plutôt que sur les détails opérationnels fastidieux du déploiement, de la gestion et de la mise à l'échelle de l'infrastructure Solr… »

Recevez notre newsletter

The Stack est livré tous les deux mois avec des tendances du secteur, des informations, des produits et plus encore

Vous aimerez peut-être aussi :

La société d'expérience de recherche
G2 Enterprise Search Reviews for SearchStax

Produits

Tarification

Ressources

Services

Ressources

Tarification

Entreprise

Planifier une démonstration
© 2025 SearchStax, Inc. Tous droits réservés. Conditions d'utilisation | politique de confidentialité
fr_CAFrançais du Canada
en_USEnglish fr_CAFrançais du Canada