LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2327-1 lucene-solr

Bulletin d'alerte Debian

DLA-2327-1 lucene-solr -- Mise à jour de sécurité pour LTS

Date du rapport :

16 août 2020

Paquets concernés :

lucene-solr

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-0193.

Plus de précisions :

Une vulnérabilité de sécurité a été découverte dans lucene-solr, un serveur d’entreprise pour des recherches.

DataImportHandler (DIH), un module facultatif mais populaire pour extraire des données de bases de données ou d’autres sources, possédait une fonction par laquelle la configuration DIH entière pouvait être obtenue avec un paramètre de requête dataConfig. Le mode de débogage de l’écran de l’administrateur DIH utilisait cela pour un débogage ou un développement pratique de la configuration de DIH. Puisque celle-ci pouvait contenir des scripts, ce paramètre présentait un risque de sécurité. Désormais, l’utilisation de ce paramètre nécessite de régler la propriété du système Java, enable.dih.dataConfigParam, à true. Par exemple, cela peut être réalisé avec solr-omcat en ajoutant -Denable.dih.dataConfigParam=true à JAVA_OPTS dans /etc/default/tomcat8.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 3.6.2+dfsg-10+deb9u3.

Nous vous recommandons de mettre à jour vos paquets lucene-solr.

Pour disposer d'un état détaillé sur la sécurité de lucene-solr, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lucene-solr

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.