Kurzinfo CB-K17/1757 Update 1

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Lucene/Solr: Eine Schwachstelle ermöglicht die Ausführung beliebigen Prorgammcodes
Datum: 07.11.2017
Software: Apache Lucene < 6.6.2, Apache Lucene < 7.1.0, Apache Solr < 6.6.2, Apache Solr < 7.1.0
Plattform: Red Hat JBoss Enterprise Application Platform 7.0.8, Apple Mac OS X, macOS Sierra, GNU/Linux, Microsoft Windows , Red Hat Enterprise Linux 6, Red Hat Enterprise Linux 7, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-12629
Bezug: Fedora Security Update FEDORA-2017-005f8f7f7d (Fedora 25, lucene-5.5.0-5)
Revisions Historie
  • Version: 2

    Red Hat stellt für Red Hat JBoss Enterprise Application Platform (EAP) 7.0.8 einen asynchronen Patch als Sicherheitsupdate für 'lucene' bereit und weist darauf hin, dass EAP nicht direkt von der Schwachstelle betroffen ist. Die verwundbare Klasse wird allerdings mit ausgeliefert und kann folglich in Anwendungen eingesetzt werden. Die Sicherheitsupdates stehen für Red Hat Enterprise Linux 6 und 7 zur Verfügung.

  • Version: 1

    Neues Advisory

Beschreibung

Apache Lucene ist eine in Java geschriebene Bibliothek, die Volltext-Suchfunktionalitäten zur Verfügung stellt.

Das innerhalb des Apache Lucene Projekts entwickelte Apache Solr ist eine Open-Source Suchplattform, die auf den Bedarf von Enterprise Kunden ausgerichtet ist. Hohe Skalierbarkeit, Volltextsuche und das Hervorheben von Treffern sind einige Merkmale der in Java geschriebenen Suchplattform.

Eine Schwachstelle in Lucene vor Versionen 6.6.2 und 7.1.0 ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der Folge das Ausspähen sensitiver Daten. In diesem Kontext kann der Angreifer direkten Zugriff auf einen Solr-Server (ebenfalls vor Versionen 6.6.2 und 7.1.0) erhalten und auf diesem beliebigen Programmcode ausführen. Der Hersteller informiert über die Schwachstelle und stellt die genannten Versionen als Sicherheitsupdates bereit. Für Fedora 25, 26 und 27 stehen Backport-Sicherheitsupdates für Lucene im Status 'testing' zur Verfügung.

  1. Schwachstelle CVE-2017-12629 (NVD)

  2. Apache Lucene und Solr 6.6.2 Release Notes

  3. Apache Lucene und Solr 7.1.0 Release Notes

  4. Fedora Security Update FEDORA-2017-005f8f7f7d (Fedora 25, lucene-5.5.0-5)

  5. Fedora Security Update FEDORA-2017-9b3e2904bf (Fedora 27, lucene-6.1.0-6)

  6. Fedora Security Update FEDORA-2017-c7bdf540b4 (Fedora 26, lucene-6.1.0-6)

  7. Red Hat Security Advisory RHSA-2017:3123

  8. Red Hat Security Update RHSA-2017:3124

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.