针对 CVE-2024-2221:任意文件上传漏洞的回应
Mike Jang
·2024年4月5日
总结
Qdrant 发现了一个影响 v1.9 之前所有版本的安全漏洞,该漏洞在 CVE-2024-2221 中有所描述。该漏洞允许攻击者上传任意文件到文件系统,可用于获取远程代码执行。
该漏洞对 Qdrant 云部署没有实质性影响,因为其文件系统是只读的,并且默认启用身份验证。最坏的情况是,已通过身份验证的用户可以利用该漏洞使集群崩溃,这在通过上传超过 RAM 容量的向量时已经可能发生。
Qdrant 已在 v1.9.0 及更高版本中解决了该漏洞,通过限制文件上传到专用文件夹。
操作
检查您的 Qdrant 部署的当前版本。如果您的部署版本低于 v1.9.0,请进行升级。
要确认您的 Qdrant 云部署或本地/云系统上的 Qdrant 部署版本,请运行 API GET 调用,如 Qdrant 云设置指南 中所述。如果您的 Qdrant 部署是本地的,则不需要 API 密钥。
您的下一步取决于您如何安装 Qdrant。有关详细信息,请阅读 Qdrant 安装 指南。
如果您使用 Qdrant 容器或二进制文件
升级您的部署。运行 Qdrant 安装 指南中适用部分的命令。默认命令会自动拉取最新版本的 Qdrant。
如果您使用 Qdrant Helm Chart
如果您使用 Helm Chart 在 Kubernetes 上设置了 Qdrant,请遵循 qdrant-helm 存储库中的 README。确保适用的配置文件指向 v1.9.0 或更高版本。
如果您使用 Qdrant 云服务
无需采取任何行动。此漏洞对您没有实质性影响。但是,我们建议您将云部署升级到最新版本。
注意:本文已于 2024 年 5 月 10 日更新,建议用户升级到 1.9.0 以确保同时防护 CVE-2024-2221 和 CVE-2024-3829。
