Bulletin d'alerte Debian

DLA-1954-1 lucene-solr -- Mise à jour de sécurité pour LTS

Date du rapport :
10 octobre 2019
Paquets concernés :
lucene-solr
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-0193.
Plus de précisions :

Une vulnérabilité de sécurité a été découverte dans lucene-solr, un serveur de recherche d’entreprise.

DataImportHandler, un module facultatif mais populaire pour obtenir des données à partir de bases de données ou d’autres sources avait une fonction dans laquelle la configuration entière DIH pouvait venir d’un paramètre dataConfig de requête. Le mode débogage de l’écran DIH de l’administrateur utilise cela pour permettre le développement ou le débogage pratique de la configuration DIH. Puisqu’une configuration DIH peut contenir des scripts, ce paramètre est un risque de sécurité. Désormais, l’utilisation de ce paramètre nécessite le réglage de la propriété du système Java enable.dih.dataConfigParam à vrai. Par exemple, cela peut être réalisé avec solr-tomcat en ajoutant -Denable.dih.dataConfigParam=true à JAVA_OPTS dans /etc/default/tomcat7.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 3.6.2+dfsg-5+deb8u3.

Nous vous recommandons de mettre à jour vos paquets lucene-solr.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.