DFN-CERT

Advisory-Archiv

2017-1836: Lucene/Solr: Eine Schwachstelle ermöglicht die Ausführung beliebigen Prorgammcodes

Historie:

Version 1 (2017-10-19 14:11)
Neues Advisory
Version 2 (2017-11-07 12:20)
Red Hat stellt für Red Hat JBoss Enterprise Application Platform (EAP) 7.0.8 einen asynchronen Patch als Sicherheitsupdate für 'lucene' bereit und weist darauf hin, dass EAP nicht direkt von der Schwachstelle betroffen ist. Die verwundbare Klasse wird allerdings mit ausgeliefert und kann folglich in Anwendungen eingesetzt werden.
Version 3 (2017-11-07 12:31)
Red Hat stellt die Sicherheitsupdates für Red Hat Enterprise Linux 6 (i386, x86_64) und 7 (x86_64) zur Verfügung.
Version 4 (2017-11-17 10:49)
Für Fedora 25, 26 und 27 stehen nun auch Backport-Sicherheitsupdates für 'lucene4' bereit, mit denen die Schwachstelle behoben wird. Das Sicherheitsupdate für Fedora 25 befindet sich im Status 'testing', während die anderen beiden Updates noch den Status 'pending' besitzen.
Version 5 (2017-12-13 14:18)
Für Red Hat Software Collections (for RHEL Server) 1 für Red Hat Enterprise Linux (RHEL) 6, 6.7, 7, 7.3 und 7.4 sowie für Red Hat Software Collections (for RHEL Workstation) 1 für RHEL 6 und 7 stehen Sicherheitsupdates für 'rh-java-common-lucene' und 'rh-java-common-lucene5' zur Behebung der Schwachstelle bereit.
Version 6 (2020-01-30 10:19)
Canonical stellt für Ubuntu 16.04 LTS ein Sicherheitsupdate für Apache Solr zur Verfügung, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in Lucene vor Versionen 6.6.2 und 7.1.0 ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der Folge das Ausspähen sensitiver Daten. In diesem Kontext kann der Angreifer direkten Zugriff auf einen Solr-Server (ebenfalls vor Versionen 6.6.2 und 7.1.0) erhalten und auf diesem beliebigen Programmcode ausführen.

Der Hersteller informiert über die Schwachstelle und stellt die genannten Versionen als Sicherheitsupdates bereit.

Für Fedora 25, 26 und 27 stehen Backport-Sicherheitsupdates für Lucene im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2017-12629

Schwachstelle in Lucene/Solr ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.