CVE-2024-31391 in Solr Operator
要約
〜によって VulDB • 2026年05月10日
Apache Solr Operatorにおけるログファイルへの機密情報挿入の脆弱性。
この問題は、Apache Solr Operatorのバージョン0.3.0から0.8.0までのすべてのバージョンに影響します。
Solrのセキュリティを初期設定するよう要求されると、オペレーターは基本認証を有効にし、Solrへのアクセスのための複数のアカウントを作成します。これには、エンドユーザーが使用する「solr」と「admin」アカウント、およびオペレーターがSolrへの自身のリクエストに使用する「k8s-oper」アカウントが含まれます。 これらのオペレーターリクエストの一般的な発生源はヘルスチェックです。死活チェック(liveness)、準備状態チェック(readiness)、起動チェック(startup)のすべてのプローブが、Solrの健全性とトラフィックの受信能力を判断するために使用されます。 デフォルトでは、オペレーターはこれらのプローブに使用されるSolr APIを認証から除外するように構成していますが、ユーザーはプローブエンドポイントでも認証を要求するよう具体的に指定できます。 これらのプローブのいずれかが失敗した場合、認証が使用されていると、Solr Operatorは「k8s-oper」アカウントのユーザー名とパスワードを含むKubernetes「イベント」を作成します。
影響を受けるバージョン範囲内では、この脆弱性は、(1) `.solrOptions.security.authenticationType=basic` オプションを使用してセキュリティを初期設定した、および (2) `.solrOptions.security.probesRequireAuth=true` を設定してプローブでの認証の使用を要求した、任意のsolrcloudリソースに影響します。
ユーザーには、Solr Operatorバージョン0.8.1へのアップグレードを推奨します。このバージョンでは、プローブがSolrリクエストに使用される資格情報を印刷しないようにすることで、この問題を修正しています。ユーザーは、`.solrOptions.security.probesRequireAuth=false` を設定してヘルスチェックプローブでの認証を無効にすることで、脆弱性を緩和することもできます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.