Solr, 1 nouveau bug dans la plateforme d’Apache

Un bug affectant Solr a reçu une nouvelle évaluation après que les chercheurs aient découvert une possibilité d’exécution de code à distance. Le signalement vient de Tenable, qui révèle que la vulnérabilité liée à la configuration permet d’exécuter du code à distance sur le matériel affecté.

La vulnérabilité (CVE-2019-12409) a été reporté pour la première fois en Juillet et a été patché en Août. « Initialement, le problème avait été décrit comme étant de faible priorité où n’importe qui ayant accès au port Java Management Extensions (JMX) est capable d’accéder aux données de surveillances exposées par JMX, » a déclaré Scott Caveza, responsable d’ingénierie de recherche chez Tenable.

Depuis la découverte du bug, les chercheurs ont réévalué la menace et élevé sa priorité. « Il semblerait qu’un chercheur ait signalé que l’exécution de code à distance était possible et le rapport de bug a été revu pour refléter cela et ajouter le CVE, » a révélé Caveza. « Le signalement initial de priorité faible a été effectué le 14 Août, mais le rapport de bug (rempli en Juillet) a été corrigé et mis à jour. »

Un bulletin de sécurité pour l’exploit d’exécution de code à distance a été publié la semaine dernière. Cette faille est liée à un problème de configuration dans le fichier solr.in.sh dans Apache Solr.

« Un individu non-authentifié ayant la capacité d’atteindre le port RMI peut exploiter la vulnérabilité pour envoyer du code malveillant vers le serveur et installer un shell pour compromettre la machine, » selon Caveza.

RMI (Remote Method Invocation – Invocation de Méthode à Distance) est du code qui permet à une machine virtuelle Java (JVM) de parler à une autre machine virtuelle à distance, aidant les objets JVM à communiquer.

solr

Caveza affirme que la vulnérabilité est limitée à deux versions de Apache Solr (8.1.1 et 8.2.0). La faille est dans la configuration par défaut du fichier solr.in.sh .

« N’importe qui ayant accès à un serveur Solr vulnérable et aux Java Management Extensions (JME) pourrait envoyer du code malveillant qui peux ensuite être exécuté, » selon le blog de recherche de Tenable.

Comment se protéger de cette faille de Solr?

Le correctif est relativement simple. Les administrateurs peuvent mettre à jour Apach Solr vers la version 8.3 ou changer les paramètres du fichier solr.in.sh en donnant la valeur « false » au paramètre « ENABLE_REMOTE_JMX_OPTS ».

« Le changement peut être confirmé en s’assurant que les propriétés com.sun.management.jmxremote ne sont pas énumérées dans l’interface d’administrateur de Solr à l’intérieur de la section Propriété Java, » a expliqué Tenable.

John Ryan a été crédité pour le report initial du problème et Matei « Mal » Badanoiu a découvert que la faille pouvait mener à une exécution de code à distance.

Apache a eu une année assez mouvementée, en Mai nous vous informions d’une vulnérabilité d’exécution de code à distance dans Apache Tomcat et en Avril un bug concernant la sécurité des hébergements partagés.