雷神众测漏洞周报2021.03.15-2021.03.21-4

1.Apache Solr高危漏洞

漏洞介绍：

近日，安恒应急响应中心监测到Apache Solr存在一个服务端请求伪造漏洞与任意文件读取漏洞，攻击者可以构造恶意HTTP请求读取目标Apache Solr服务器的任意文件。

漏洞危害：

根据分析Apache Solr在默认安装时不会开启身份验证，攻击者可以未授权访问Config API打开requestDispatcher.requestParsers.enableRemoteStreaming开关，进而通过构造恶意请求读取目标Apache Solr服务器的任意文件。

影响范围：

Apache Solr

修复方案：

高危：

目前漏洞细节和攻击代码已经公开，建议部署了Apache Solr的用户尽快排查是否受影响。

官方建议：

官方表示这不是一个漏洞，因此暂无官方解决方案。

临时缓解措施：

1、启用Apache Solr身份验证；

2、配置访问控制策略，避免Apache Solr暴露在互联网。

来源: 安恒信息应急响应中心

2. Gitlab markdown远程代码执行漏洞

漏洞介绍：

Gitlab是一种基于Git的完全集成的软件开发平台，并具有wiki和在线编辑，issue跟踪功能，CI / CD等功能。

漏洞危害：

2021年3月18日Gitlab官方发布安全更新，修复了一处远程代码执行攻击，攻击者可构造恶意请求，在Gitlab服务器上执行任意代码，控制服务器。

影响范围：

Gitlab CE / EE <13.9.4

Gitlab CE / EE <13.8.6

Gitlab CE / EE <13.7.9

修复建议：

及时测试并升级到最新版本或升级版本

来源：NOSEC

3. 通达OA2017前台存在SQL注入漏洞

漏洞介绍：

通达OA2017是office整合办公系统。

漏洞危害：

通达OA2017前台存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

影响范围：

北京通达信科科技有限公司 通达OA2017

修复建议：

及时测试并升级到最新版本或升级版本

来源：CNVD

4. TurboMail存在命令执行漏洞

漏洞介绍：

TurboMail是广州拓波软件科技有限公司面向企事业单位通信需求而研发的电子邮件服务器系统。

漏洞危害：

TurboMail存在命令执行漏洞。攻击者可利用漏洞远程执行命令，获得服务器权限。

影响范围：

广州拓波软件科技有限公司 Turbomail 5.2.0

修复建议：

及时测试并升级到最新版本或升级版本

来源：CNVD