1、组件介绍

Apache Solr 是一个开源的搜索服务器，具有高度可靠、可伸缩和容错的，提供分布式索引、复制和负载平衡查询、自动故障转移和恢复、集中配置等功能。

Solr 为世界上许多最大的互联网站点提供搜索和导航功能。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。

Apache Solr 中存储的资源是以 Document 为对象进行存储的。每个文档由一系列的 Field 构成，每个 Field 表示资源的一个属性。Solr 中的每个 Document 需要有能唯一标识其自身的属性，默认情况下这个属性的名字是 id，在 Schema 配置文件中使用：id进行描述。

2、漏洞描述

2021 年 12 月 21 日，深信服安全团队监测到一则 Apache Solr 组件存在信息泄漏漏洞的信息，漏洞编号：CVE-2021-44548，漏洞威胁等级：中危。

该漏洞是由于 Apache Solr 的 DataImportHandler 中存在不正确的输入验证，攻击者可利用该漏洞构造恶意数据执行信息泄漏攻击，最终造成服务器敏感性信息泄漏。

全球约有三万多台服务器使用了 Apache Solr 组件，可能受 Apache Solr 信息泄漏漏洞影响的资产主要分布于中美两国。

目前受影响的 Apache Solr 版本：

Apache Solr <  8.11.1

1、如何检测组件版本

2、官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://solr.apache.org/downloads.html

3、临时修复建议