Apache官方發(fā)布安全Solr issue，披露了一個遠程反序列化代碼執(zhí)行漏洞CVE-2019-0192，危害較大。

漏洞描述

Apache Solr < 7.0.0 的版本中，允許core ConfigAPI修改jmx.serviceUrl屬性，惡意攻擊者可將其指向設(shè)定好的RMI/LDAP服務(wù)，導(dǎo)致反序列化遠程代碼執(zhí)行漏洞，使用流行的ysoserial工具即可達到漏洞測試效果。

漏洞評級

CVE-2019-0192 嚴重

影響版本

Apache Solr < 7.0.0

安全建議

1、升級到Apache Solr 7.0或更高版本

2、通過使用系統(tǒng)屬性disable.configEdit = true運行Solr，禁用ConfigAPI（如果未使用）

3、安裝SOLR-13301.patch 補丁，重新編譯Solr

相關(guān)鏈接

https://issues.apache.org/jira/browse/SOLR-13301