雷神眾測漏洞周報2021.03.15-2021.03.21-4

1.Apache Solr高危漏洞

漏洞介紹：

近日，安恒應急響應中心監(jiān)測到Apache Solr存在一個服務端請求偽造漏洞與任意文件讀取漏洞，攻擊者可以構造惡意HTTP請求讀取目標Apache Solr服務器的任意文件。

漏洞危害：

根據(jù)分析Apache Solr在默認安裝時不會開啟身份驗證，攻擊者可以未授權訪問Config API打開requestDispatcher.requestParsers.enableRemoteStreaming開關，進而通過構造惡意請求讀取目標Apache Solr服務器的任意文件。

影響范圍：

Apache Solr

修復方案：

高危：

目前漏洞細節(jié)和攻擊代碼已經(jīng)公開，建議部署了Apache Solr的用戶盡快排查是否受影響。

官方建議：

官方表示這不是一個漏洞，因此暫無官方解決方案。

臨時緩解措施：

1、啟用Apache Solr身份驗證；

2、配置訪問控制策略，避免Apache Solr暴露在互聯(lián)網(wǎng)。

來源: 安恒信息應急響應中心

2. Gitlab markdown遠程代碼執(zhí)行漏洞

漏洞介紹：

Gitlab是一種基于Git的完全集成的軟件開發(fā)平臺，并具有wiki和在線編輯，issue跟蹤功能，CI / CD等功能。

漏洞危害：

2021年3月18日Gitlab官方發(fā)布安全更新，修復了一處遠程代碼執(zhí)行攻擊，攻擊者可構造惡意請求，在Gitlab服務器上執(zhí)行任意代碼，控制服務器。

影響范圍：

Gitlab CE / EE <13.9.4

Gitlab CE / EE <13.8.6

Gitlab CE / EE <13.7.9

修復建議：

及時測試并升級到最新版本或升級版本

來源：NOSEC

3. 通達OA2017前臺存在SQL注入漏洞

漏洞介紹：

通達OA2017是office整合辦公系統(tǒng)。

漏洞危害：

通達OA2017前臺存在SQL注入漏洞。攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。

影響范圍：

北京通達信科科技有限公司 通達OA2017

修復建議：

及時測試并升級到最新版本或升級版本

來源：CNVD

4. TurboMail存在命令執(zhí)行漏洞

漏洞介紹：

TurboMail是廣州拓波軟件科技有限公司面向企事業(yè)單位通信需求而研發(fā)的電子郵件服務器系統(tǒng)。

漏洞危害：

TurboMail存在命令執(zhí)行漏洞。攻擊者可利用漏洞遠程執(zhí)行命令，獲得服務器權限。

影響范圍：

廣州拓波軟件科技有限公司 Turbomail 5.2.0

修復建議：

及時測試并升級到最新版本或升級版本

來源：CNVD