漏洞扫描发现 Solr CVE-2017-12629 对 CDH 集群影响分析

在企业大数据平台安全巡检过程中，漏洞扫描工具（如 Nessus、Qualys、OpenVAS、绿盟、启明星辰等）经常会对 Hadoop 集群中的 Solr 服务进行安全扫描，并识别出 CVE-2017-12629 高危漏洞。

很多客户在进行 CDH 集群安全加固时，都会遇到一个典型问题：

漏洞扫描提示 Solr 存在 CVE-2017-12629，是否意味着 CDH 集群存在远程代码执行风险？

这个问题不能简单地以"有漏洞"或"无漏洞"来回答，需要结合 CDH 中 Solr 的实际部署方式、版本修复情况以及访问暴露面 综合分析。

本文将从漏洞原理、CDH 影响范围、实际风险和整改建议四个维度进行说明。

一、漏洞背景说明

CVE-2017-12629 是 Apache Solr 历史上一个较为典型的高危漏洞。

其本质是：

XXE + Config API 链式利用导致远程代码执行（RCE）

该漏洞影响 Apache Solr 7.1 之前版本。攻击者可以通过构造恶意 XML 请求，结合 Solr Config API 的 listener 机制，最终触发远程命令执行。

漏洞利用链核心分两步：

1 XXE 漏洞

攻击者通过 XML Query Parser 发起恶意 XXE 请求：

deftype=xmlparser

可实现：

读取本地文件

SSRF

内部请求转发

2 利用 Config API 执行命令

进一步利用：

/add-listener

调用 Solr 内部的：

RunExecutableListener

最终实现远程命令执行（RCE）。

这也是很多安全扫描工具将其定义为：

Critical / High Risk

的原因。

二、CDH 集群是否受影响

这是最关键的一部分。

根据 Cloudera 官方知识库结论，判断不能只看 CVE 编号，而要结合 CDH 自带 Solr 版本与补丁状态。

在 CDH 中，Solr 通常以 Search / SolrCloud 服务形式存在。

典型组件包括：

Cloudera Search

Apache Solr

ZooKeeper

HDFS Index Storage

1 理论影响范围

如果你的 CDH 使用的是：

Apache Solr < 7.1

从开源版本角度看，理论上存在漏洞影响。

2 实际 CDH 风险判断

但在 CDH 中，风险不能直接等同于开源版本漏洞。

原因是：

Cloudera 经常对组件做 backport 修复

也就是说：

即使版本号看起来较低，实际代码可能已经修复。

这是漏洞扫描误报最常见原因之一。

例如扫描工具可能只根据 Banner 返回：

Solr 6.x

直接判定漏洞存在。

但实际上 CDH 补丁已修复漏洞。

这种情况在企业漏洞扫描中非常常见。

三、漏洞扫描为什么经常报 CDH 存在此漏洞

1 扫描工具基于版本号判断

多数扫描工具逻辑如下：

Solr version < 7.1

→ 命中 CVE-2017-12629

这是典型的：

版本指纹式扫描

它并不会真正验证漏洞是否可利用。

2 未识别 Cloudera 补丁版本

CDH 中组件通常不是标准社区包。

例如：

solr-6.6.2-cdh6.x.x

扫描工具往往无法识别：

cdh patch level

因此容易误报。

3 管理端口暴露导致高危提示

例如 Solr 默认端口：

8983

如果对外开放，扫描工具通常直接提升风险等级。

即使漏洞已修复，也可能被标为：

High Risk

四、对 CDH 集群的实际影响分析

下面从真实攻击面分析。

1 若 Solr 端口仅内网开放

如果 CDH 集群 Solr 仅在内网：

10.x / 172.x

开放，则实际风险较低。

攻击者必须先进入内网。

2 若 Solr 对公网开放

这是高风险场景。

例如：

http://ip:8983/solr

可直接访问。

则即使只是疑似漏洞，也必须立即整改。

3 对集群的潜在危害

若漏洞真实存在，可能影响：

（1）远程执行系统命令

最严重风险：

RCE

攻击者可直接执行：

wget

curl

bash

（2）读取本地敏感文件

例如：

/etc/passwd

core-site.xml

hdfs-site.xml

krb5.conf

（3）横向进入 Hadoop 集群

进一步攻击：

HDFS

YARN

Hive Metastore

Impala

（4）搜索索引数据泄露

例如客户数据、日志检索数据。

五、建议的安全整改方案

1 优先确认 CDH 补丁版本

建议首先确认：

rpm -qa | grep solr

或在 Cloudera Manager 查看：

Search / Solr version

确认是否已包含官方补丁。

2 关闭公网访问

强烈建议限制：

8983

仅内网访问。

例如：

iptables

security group

firewall

限制来源 IP。

3 禁止 Config API 外部调用

重点限制：

/add-listener

/config

相关 API。

4 升级 CDH 版本

若版本较老，建议升级至已修复版本。

这是根本方案。

5 向安全团队提交误报说明

如果确认是补丁版本误报，可以提供如下说明：

漏洞说明：

漏洞扫描发现 Apache Solr CVE-2017-12629。

经核查，当前 CDH 集群使用 Cloudera 官方发行版本，相关组件已包含厂商安全补丁修复。

漏洞扫描工具基于版本号识别，属于误报。

当前无公网暴露，无实际可利用风险。

六、结论

综合判断：

漏洞扫描命中 CVE-2017-12629 不代表 CDH 集群一定真实受影响

核心看三点：

1 是否已打 Cloudera 补丁

最关键。

2 8983 是否公网暴露

风险等级关键因素。

3 是否真实可利用

不能只看扫描结果。

必须结合渗透验证。

建议：

大多数 CDH 场景下，这类漏洞更多是"版本误报 + 暴露面风险提示"

但如果公网开放 Solr，则必须按高危处理。