对 CVE-2024-2221 任意文件上传漏洞的响应

摘要

Qdrant 在 v1.9 版本之前的所有版本中发现了一个安全漏洞，在 CVE-2024-2221 中有描述。该漏洞允许攻击者上传任意文件到文件系统，从而可能导致远程代码执行。

该漏洞对 Qdrant 云部署没有实质性影响，因为其文件系统是只读的，且默认启用身份验证。最坏情况下，已认证的用户可以使用此漏洞使集群崩溃，但这本身就是可能做到的，例如通过上传超出内存容量的向量。

Qdrant 在 v1.9.0 及更高版本中已通过限制文件上传到专门文件夹的代码解决了该漏洞。

操作

检查您的 Qdrant 部署的当前版本。如果您的部署版本低于 v1.9.0，请升级。

要确认您在云端、本地或云系统上的 Qdrant 部署版本，请运行 API GET 调用，具体方法参见Qdrant 云安装指南。如果您的 Qdrant 部署在本地，则无需 API 密钥。

您的下一步取决于您安装 Qdrant 的方式。详情请阅读Qdrant 安装指南。

如果您使用 Qdrant 容器或二进制文件

升级您的部署。运行Qdrant 安装指南中适用部分的命令。默认命令会自动拉取最新版本的 Qdrant。

如果您使用 Qdrant Helm Chart

如果您使用 Helm Chart 在 Kubernetes 上设置了 Qdrant，请遵循 qdrant-helm 仓库中的 README 文件。确保适用的配置文件指向 v1.9.0 或更高版本。

如果您使用 Qdrant 云

无需采取行动。此漏洞不会对您造成实质性影响。但是，我们建议您将云部署升级到最新版本。

注意：本文已于 2024 年 5 月 10 日更新，鼓励用户升级到 1.9.0 版本，以确保同时防范 CVE-2024-2221 和 CVE-2024-3829。