CVE-2024-31391

Apache Solr Operator, versões 0.3.0 a 0.8.0

O problema afeta o Apache Solr Operator ao inicializar a segurança do Solr, habilitar a autenticação básica e criar contas para acessar o Solr. O operador usa uma conta “k8s-oper” para suas solicitações ao Solr, incluindo verificações de integridade, como sondas de atividade, prontidão e inicialização. Se a autenticação for exigida nos pontos de extremidade das sondas e uma sonda falhar, o Solr Operator cria um “evento” do Kubernetes contendo o nome de usuário e a senha da conta “k8s-oper”. Essa vulnerabilidade afeta recursos solrcloud que inicializaram a segurança usando a opção .solrOptions.security.authenticationType=basic e exigiram autenticação nas sondas definindo .solrOptions.security.probesRequireAuth=true.

Para as versões 0.3.0 a 0.8.0, atualize para a versão 0.8.1 do Solr Operator para corrigir o problema.

Como solução alternativa temporária, considere definir .solrOptions.security.probesRequireAuth=false para desativar a autenticação nas sondas de verificação de integridade.