关于 CVE-2024-3829 的回应：任意文件上传漏洞

摘要

Qdrant 中发现了一个安全漏洞，影响所有 v1.9 之前的版本，该漏洞在 CVE-2024-3829 中有描述。该漏洞允许攻击者向文件系统上传任意文件，这可能被用于获得远程代码执行。这与 2024 年 4 月公布的 CVE-2024-2221 漏洞相似但不同。

该漏洞对 Qdrant 云部署没有实质性影响，因为云文件系统是只读的且默认启用身份验证。最坏情况下，经过身份验证的用户可能利用此漏洞导致集群崩溃，这通过其他方式也可能发生，例如上传超出 RAM 容量的向量。

Qdrant 在 v1.9.0 及以上版本中通过限制文件上传到专用文件夹的代码修复了该漏洞。

操作

检查您的 Qdrant 部署的当前版本。如果您的部署版本低于 v1.9.0，请升级。

要确认您的 Qdrant 云部署或本地/云系统上的 Qdrant 部署版本，请按照 Qdrant 快速入门指南 中的描述，运行一个 API GET 调用。如果您的 Qdrant 部署是本地的，则不需要 API 密钥。

您的下一步操作取决于您如何安装 Qdrant。详情请阅读 Qdrant 安装 指南。

如果您使用 Qdrant 容器或二进制文件

升级您的部署。运行 Qdrant 安装 指南中适用部分中的命令。默认命令会自动拉取最新版本的 Qdrant。

如果您使用 Qdrant helm chart

如果您使用 helm chart 在 kubernetes 上设置了 Qdrant，请遵循 qdrant-helm 仓库中的 README 文件。确保适用的配置文件指向 v1.9.0 或以上版本。

如果您使用 Qdrant 云

无需采取行动。此漏洞对您没有实质性影响。但是，我们建议您将云部署升级到最新版本。