Уязвимость небезопасной инициализации ресурсов по умолчанию в Apache Solr. Новые ConfigSets, которые создаются с помощью команды Restore, к…

Уязвимость небезопасной инициализации ресурсов по умолчанию в Apache Solr. Новые ConfigSets, которые создаются с помощью команды Restore, которая копирует ConfigSet из резервной копии и присваивает ему новое имя, создаются без установки метаданных "trusted". ConfigSets, которые не содержат флаг, неявно считаются доверенными, если метаданные отсутствуют, поэтому это приводит к "trusted" ConfigSets, которые, возможно, не были созданы с помощью аутентифицированного запроса. "trusted" ConfigSets могут загружать пользовательский код в загрузчики классов, поэтому флаг должен устанавливаться только тогда, когда запрос, загружающий ConfigSet, является аутентифицированным и авторизованным. Эта проблема затрагивает Apache Solr: с 6.6.0 до 8.11.4, с 9.0.0 до 9.7.0. Эта проблема не затрагивает экземпляры Solr, которые защищены с помощью аутентификации/авторизации. Пользователям в первую очередь рекомендуется использовать аутентификацию и авторизацию при запуске Solr. Однако обновление до версии 9.7.0 или 8.11.4 устранит эту проблему в противном случае.