Django-haystack: Haben Sie vor, Kompatibilität zu 7.2 hinzuzufügen?

(Es ist kein Problem mit django-haystack)

https://www.cvedetails.com/cve/CVE-2017-12629/
Remotecodeausführung erfolgt in Apache Solr vor 7.1 mit Apache Lucene vor 7.1 durch Ausnutzung von XXE in Verbindung mit einem Config API-Befehl add-listener, um die RunExecutableListener-Klasse zu erreichen. Elasticsearch verwendet zwar Lucene, ist jedoch NICHT anfällig dafür. Beachten Sie, dass die Sicherheitslücke bei der Erweiterung externer XML-Entitäten im XML-Abfrageparser auftritt, der standardmäßig für jede Abfrageanforderung mit den Parametern deftype=xmlparser verfügbar ist und ausgenutzt werden kann, um bösartige Daten in den /upload-Anforderungshandler oder als Blind XXE mit ftp hochzuladen Wrapper, um beliebige lokale Dateien vom Solr-Server zu lesen. Beachten Sie auch, dass sich die zweite Sicherheitsanfälligkeit auf die Remotecodeausführung mit dem RunExecutableListener bezieht, der in allen betroffenen Versionen von Solr verfügbar ist.

Es betrifft die Solr-Version - 5.5 bis 7.0.1
Solr-Mitwirkende schlägt vor, -Ddisable.configEdit=true während des Neustarts hinzuzufügen, um das Problem vorübergehend zu beheben, bis der richtige Fix verfügbar ist, aber ein Upgrade auf 7.2 sollte auch dazu beitragen, diese kritische Schwachstelle zu vermeiden.

Aufbau

• Betriebssystemversion: CentOS
• Suchmaschinenversion: Solr 6.5.1
• Python-Version: 2.7
• Django-Version: 1.9.9
• Heuhaufen-Version: 2.5.0