[CVE 취약점] Apache Solr 원격 코드 실행 취약점 관련

[CVE 취약점] Apache Solr 원격 코드 실행 취약점 관련

참조

> https://blog.alyac.co.kr/2631

> https://www.cybersecurity-help.cz/vdb/SB2019112102?affChecked=1

> https://github.com/mogwaisec/mjet/blob/master/README.md

> https://www.youtube.com/watch?v=KZtR6rYFG-E

개요

안전하지 않은 설정을 포함하는 구성 옵션의 취약점을 이용하여 원격코드 실행이 가능한 취약점

 - SOLR이 동반의 기본 구성 파일인 solr.in.sh 아파치 SOLR 8.1.1과 8.2.0 버전이 안전하지 않은 설정을 포함하는 구성 옵션(ENABLE_REMOTE_JMX_OPTS=true) 포함하여 원격 공격자는 인증 프로세스를 무시하여 시스템에 임의 코드를 실행할 수 있다. 

 

Apache solr : solr("솔라"로 발음됨)는 ApacheLucene프로젝트의 Java로 작성된 오픈 소스 엔터프라이즈 검색 플랫폼

 - 19년 11월 18일 확인된 취약점(https://nvd.nist.gov/vuln/detail/CVE-2019-12409)

구성옵션 설정 미흡으로 인하여 원격코드 실행이 가능한 취약점(CVE-2019-12409)

영향 받는 제품 버전

ApacheSor: 8.1.1

ApacheSor: 8.2.0

방안

영향받지 않는 버전으로 업데이트(Apache Sor ver 8.3)

solr.in.sh 파일에서 ENABLETE_RETUTE_ENG_OPTS매개 변수를 'false'로 설정하여 이 취약성을 해결

Snort  

alert tcp any any -> any any (sid:1; gid:1; content:"Ljava/lang/String"; content:"Ljava/lang/Runtime"; content:"exec"; reference:cve,2019-12409, 2019-12-02; msg:"Apache Solr_CVE-2019-12409"; )