问这是远程代码执行漏洞吗？

EN

是的，我认为它很脆弱，或者无论如何都出了点问题。这就是为什么。

那家伙(或女孩)在暗示他的机器因为某种RCE而被破坏了。我们不知道这是不是真的，也不知道他为什么提出这个建议。然而，他说他现在的Solr版本是7.7.2。根据官方网站上的新闻的说法，这不是最新的版本，几个消息来源报告说7.7.2容易受到RCE的攻击:例如，请参阅cvedetails.com和报道了安装矿工的袭击事件。它也可能容易受到CVE-2019-17558 (另一个RCE)的攻击，但我不清楚，还有其他一些也不清楚的地方(例如，为什么7.7.x分支是这么晚才修复的，版本7.7.3是在2020年4月28日发布的，而这个漏洞是在2019年夏天报告的)。

不管怎么说，那家伙为什么要运行一个过时的Solr版本？他还说，“他现在的建筑-德伯是从主人那里拿走的”。所以我看了一下代码，有一个bash脚本，名为build。下面是这个脚本中有趣的部分：

# if not yet there, download Solr binary release
if [ ! -f "src/solr.deb/usr/src/solr-7.7.2.tgz" ]; then
    mkdir src/solr.deb/usr
    mkdir src/solr.deb/usr/src
    echo "Downloading Solr"
    wget -P src/solr.deb/usr/src/ https://www-eu.apache.org/dist/lucene/solr/7.7.2/solr-7.7.2.tgz
fi

基本上，当前的主分支有一个脚本，用于构建用于安装的deb文件，但是一些依赖项实际上嵌入到deb文件中(而不是让系统处理它们，并使用来自OS存储库的最新版本)。请注意，它们显式地将Solr 7.7.2包含在安装中，这似乎是过时的和易受攻击的。

一般来说，您应该使用在GitHub上找到的软件吗？嗯，也许吧。有句谚语说：“只要有足够的眼球，所有的虫子都是浅薄的(希望如此)”。但是小型项目可能无法吸引足够的开发人员来提供足够的质量、维护和安全性。除非您花一些时间阅读代码，否则无法知道一个小项目是否安全。另一方面，对于较大的项目，虽然它们根本不一定是安全的，但至少更容易找到更多的信息、意见、评论或支持。