Solr, 1 nouveau bug dans la plateforme d’Apache

Un bug affectant Solr a reçu une nouvelle évaluation après que les chercheurs aient découvert une possibilité d’exécution de code à distance. Le signalement vient de Tenable, qui révèle que la vulnérabilité liée à la configuration permet d’exécuter du code à distance sur le matériel affecté.

La vulnérabilité (CVE-2019-12409) a été reporté pour la première fois en Juillet et a été patché en Août. “Initialement, le problème avait été décrit comme étant de faible priorité où n’importe qui ayant accès au port Java Management Extensions (JMX) est capable d’accéder aux données de surveillances exposées par JMX,” a déclaré Scott Caveza, responsable d’ingénierie de recherche chez Tenable.

Depuis la découverte du bug, les chercheurs ont réévalué la menace et élevé sa priorité. “Il semblerait qu’un chercheur ait signalé que l’exécution de code à distance était possible et le rapport de bug a été revu pour refléter cela et ajouter le CVE,” a révélé Caveza. “Le signalement initial de priorité faible a été effectué le 14 Août, mais le rapport de bug (rempli en Juillet) a été corrigé et mis à jour.”

Un bulletin de sécurité pour l’exploit d’exécution de code à distance a été publié la semaine dernière. Cette faille est liée à un problème de configuration dans le fichier solr.in.sh dans Apache Solr.

“Un individu non-authentifié ayant la capacité d’atteindre le port RMI peut exploiter la vulnérabilité pour envoyer du code malveillant vers le serveur et installer un shell pour compromettre la machine,” selon Caveza.

RMI (Remote Method Invocation – Invocation de Méthode à Distance) est du code qui permet à une machine virtuelle Java (JVM) de parler à une autre machine virtuelle à distance, aidant les objets JVM à communiquer.

solr

Caveza affirme que la vulnérabilité est limitée à deux versions de Apache Solr (8.1.1 et 8.2.0). La faille est dans la configuration par défaut du fichier solr.in.sh .

“N’importe qui ayant accès à un serveur Solr vulnérable et aux Java Management Extensions (JME) pourrait envoyer du code malveillant qui peux ensuite être exécuté,” selon le blog de recherche de Tenable.

Comment se protéger de cette faille de Solr?

Le correctif est relativement simple. Les administrateurs peuvent mettre à jour Apach Solr vers la version 8.3 ou changer les paramètres du fichier solr.in.sh en donnant la valeur “false” au paramètre “ENABLE_REMOTE_JMX_OPTS”.

“Le changement peut être confirmé en s’assurant que les propriétés com.sun.management.jmxremote ne sont pas énumérées dans l’interface d’administrateur de Solr à l’intérieur de la section Propriété Java,” a expliqué Tenable.

John Ryan a été crédité pour le report initial du problème et Matei “Mal” Badanoiu a découvert que la faille pouvait mener à une exécution de code à distance.

Apache a eu une année assez mouvementée, en Mai nous vous informions d’une vulnérabilité d’exécution de code à distance dans Apache Tomcat et en Avril un bug concernant la sécurité des hébergements partagés.