Rapport de recherche sur l'état de la recherche sur site dans l'enseignement supérieur avec The Chronicle of Higher Education | Télécharger le rapport
Annexe A Démo
Rapport de recherche sur l'état de la recherche sur site dans l'enseignement supérieur avec The Chronicle of Higher Education | Télécharger le rapport
Barre de menu
Fermer

28 octobre 2020

Dipsy Kapoor

|

3 min de lecture

Une nouvelle vulnérabilité a récemment été identifiée dans Apache Solr. Nous souhaitons vous signaler cette vulnérabilité de sécurité, décrire notre réponse à l'incident et réitérer notre engagement à améliorer constamment la sécurité et l'intégrité des déploiements, des données et des services Solr de nos clients.

La nouvelle vulnérabilité a été identifiée dans Solr – CVE-2020-13957Cette vulnérabilité a été initialement signalée le 13 octobre 2020 et a été évaluée comme une vulnérabilité critique le 23 octobre avec un score CVSS de 9,8.

Cet article de blog décrit la vulnérabilité, propose des mesures d'atténuation recommandées pour tous les utilisateurs et fournit des étapes d'atténuation spécifiques pour les clients SearchStax.

Description de la vulnérabilité Solr — CVE-2020-13957

Certains Apache Solr sont sensibles à une vulnérabilité qui, si elle est exploitée avec succès, pourrait conduire à la divulgation d'informations sensibles, à l'ajout ou à la modification de données, ou à un déni de service (DoS).

Versions d'Apache Solr concernées :

  • 6.6.0 à 6.6.6
  • 7.0.0 à 7.7.3
  • 8.0.0 à 8.6.2

Plus précisément, les versions d'Apache Solr mentionnées ci-dessus empêchent la configuration de certaines fonctionnalités considérées comme dangereuses (pouvant servir à l'exécution de code à distance) dans un ConfigSet téléchargé via l'API sans authentification/autorisation. Les contrôles mis en place pour empêcher ces fonctionnalités peuvent être contournés en combinant les actions UPLOAD/CREATE.

Mesures d'atténuation recommandées pour CVE-2020-13957

L’une des étapes suivantes suffit à prévenir cette vulnérabilité :

  • Désactivez la commande UPLOAD dans l'API ConfigSets si elle n'est pas utilisée en définissant la propriété système : « configset.upload.enabled » sur « false ».
  • Utilisez l'authentification/autorisation et assurez-vous que les demandes inconnues ne sont pas autorisées
  • Réglez votre pare-feu de manière à ce que seuls les ordinateurs et les personnes de confiance soient autorisés à y accéder ; aucune API Solr, y compris l'interface utilisateur d'administration, n'est conçue pour être exposée à des parties non fiables.
  • Mise à niveau vers Solr 8.6.3 ou supérieur
  • Appliquez le correctif SOLR-14663 si la mise à niveau n'est pas envisageable pour le moment

Réponse de SearchStax à la question CVE-2020-13957

SearchStax propose les deux Filtrage IP et Authentification de base Solr pour sécuriser vos déploiements Solr et recommande que ces deux paramètres de sécurité soient appliqués chaque fois que possible.

  • Passez en revue tous vos déploiements Solr – Les clients de SearchStax doivent examiner tous les déploiements (production et hors production) et s'assurer qu'ils sont protégés par un filtrage IP ou sont protégés par l'authentification de base. Vous pouvez accéder à ces paramètres depuis le tableau de bord SearchStax. La documentation est disponible ici : https://demo.searchstax.com/docs/security/
  • Désactiver l'API de téléchargement de configuration – Si vous n'utilisez pas les API de téléchargement de configuration, nous souhaitons les désactiver en ajoutant l'indicateur configset.upload.enabled=false, comme recommandé. (Notez qu'il ne s'agit PAS des API Zookeeper. Veuillez consulter le API ConfigSets dans le guide de référence Solr pour plus de détails).

Si vous êtes client SearchStax, notre équipe vous a peut-être déjà contacté ou vous contactera prochainement pour collaborer avec vous et garantir la sécurité de vos déploiements. Pour toute question concernant la vulnérabilité Solr, veuillez contacter l'assistance SearchStax ou soumettre un ticket d'assistance.

Prochaines étapes pour la vulnérabilité Solr CVE-2020-13957

Nous avons développé et mis en œuvre une mise à jour logicielle pour remédier à cette vulnérabilité afin que les nouveaux déploiements à venir soient automatiquement sécurisés et ne soient pas affectés par la vulnérabilité.

Par Dipsy Kapoor

vice-président, ingénierie

« …la recherche ne devrait pas être réservée uniquement aux organisations disposant de budgets de recherche massifs. »

Recevez notre newsletter

The Stack est livré tous les deux mois avec des tendances du secteur, des informations, des produits et plus encore

Vous aimerez peut-être aussi :

La société d'expérience de recherche
G2 Enterprise Search Reviews for SearchStax

Produits

Tarification

Ressources

Services

Ressources

Tarification

Entreprise

Planifier une démonstration
© 2025 SearchStax, Inc. Tous droits réservés. Conditions d'utilisation | politique de confidentialité
fr_CAFrançais du Canada
en_USEnglish fr_CAFrançais du Canada