关于CVE-2024-3829的回复：任意文件上传漏洞

总结

Qdrant 发现了一个安全漏洞，影响 v1.9 之前的所有版本，详情请参阅 CVE-2024-3829。该漏洞允许攻击者上传任意文件到文件系统，这可能被用于实现远程代码执行。这与2024年4月公布的CVE-2024-2221是不同的但类似的漏洞。

该漏洞对 Qdrant 云部署没有实质性影响，因为其文件系统是只读的，并且默认启用了身份验证。最坏情况下，该漏洞可能被经身份验证的用户用于使集群崩溃，这在现有条件下也可能发生，例如上传超过RAM容量的向量。

Qdrant 已在 v1.9.0 及更高版本中修复了该漏洞，通过限制文件上传到专用文件夹。

操作

请检查您的 Qdrant 部署的当前版本。如果您的部署版本低于 v1.9.0，请进行升级。

要确认您的 Qdrant 云部署或本地/云系统上的 Qdrant 版本，请按照 Qdrant 快速入门指南 中的说明执行 API GET 调用。如果您的 Qdrant 部署是本地的，则无需 API 密钥。

您的下一步取决于您如何安装 Qdrant。详情请阅读 Qdrant 安装 指南。

如果您使用 Qdrant 容器或二进制文件

升级您的部署。运行 Qdrant 安装 指南中适用部分的命令。默认命令会自动拉取最新版本的 Qdrant。

如果您使用 Qdrant helm chart

如果您已使用 helm chart 在 kubernetes 上设置 Qdrant，请遵循 qdrant-helm 仓库中的 README。请确保适用的配置文件指向 v1.9.0 或更高版本。

如果您使用 Qdrant 云

无需采取任何操作。此漏洞对您没有实质性影响。但是，我们建议您将云部署升级到最新版本。