Apache HTTP Server（简称Apache）是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。不过Apache多款产品爆出了重要漏洞.以下是漏洞详情:

一.Apache Solr搜索服务器

Apache Solr是美国阿帕奇（Apache）软件基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 版本中存在安全漏洞。攻击者可利用该漏洞对Solr用户可访问的任意地址进行读写操作。

漏洞详情

来源:

//rf54e7912b7d2b72c63ec54a7afa4adcbf16268dccdd67d60%40%.org%3E

信息泄露漏洞（CVE-2020-13941）

攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。该漏洞允许攻击者从远程文件加载完全替换索引数据，可窃取用户敏感信息，控制系统。

受影响产品

此漏洞影响Apache Solr 版本。

解决方案

升级至Apache SOLR-14561（public）可修复

二.Apache Shiro安全框架

Apache Shiro是Apache软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。

漏洞详情

来源:

//r539fe79c5daff%40%.org%3E

信息泄露漏洞（CVE-2020-13933）

Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。该漏洞允许攻击者窃取用户敏感信息，控制系统。

受影响产品

此漏洞影响Apache Shiro 之前所有版本。

解决方案

升级至Apache Shiro 或更高版本可修复

三.Apache Struts开源框架

Apache Struts是Apache软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 版本至版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞执行代码。

漏洞详情

来源:

/confluence/display/ww/s2-059

1. 代码执行漏洞(CVE-2019-0230)

攻击者可借助特制的请求利用该漏洞执行代码。

2.拒绝服务漏洞(CVE-2019-0233)

攻击者可通过操纵请求利用该漏洞造成拒绝服务。

受影响产品

此漏洞影响Apache Struts 版本至版本。

解决方案

升级至Apache Struts 或更高版本可修复

 

查看更多漏洞信息 以及升级请访问官网:

/security/