漏洞影响版本 Apache Solr 是Apache开发的一个开源的基于Lucene的全文搜索服务器。...Solr 6.6.1 Apache Solr 6.6 Apache Solr 6.5.1 Apache Solr 6.5 Apache Solr 6.4 Apache Solr 6.3 Apache...影响版本 Apache Solr < 8.2.0 Apache Solr 5.x - 8.2.0,存在config API版本 漏洞原理 该漏洞的产生是由于两方面的原因: 当攻击者可以直接访问Solr控制台时...当设置params.resource.loader.enabled为true时,将允许用户通过设置请求中的参数来指定相关资源的加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行...其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本的处理 Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。
1.文档编写目的 ---- CDH集群使用的Solr版本为4.10.3,Java开发中会经常使用到solrj客户端包访问Solr集群。...注意:将上面标红部分修改为自己集群的依赖包目录及需要执行的类。...6.总结 ---- 这里Fayson在调试代码时也遇到很多坑,比如CDH集群的Solr版本为4.10.3,但我选择的Solrj版本为7.10.1,在调试是能够正常查询Solr集群的数据,但不能向Solr...后又选择使用Sorl官网提供solrj4.10.3版本,在调试Kerberos环境时,由于无Krb5HttpClientConfigurer类,导致调试Kerberos环境时遇到各种坑,最终选择了solrj4.10.3...-cdh5.11.2版本里面含有Krb5HttpClientConfigurer类,最终解决Kerberos环境下的Solr访问。
古时候,人们用一头牛拉不动一个耕地的犁时,不会去找个比这头牛更大的牛,而是会直接使用两个牛一起参与耕地。在分布式计算中,道理同样如此,Hadoop就是一个典型的例子。...早期的solr仅仅支持主从架构模式,这种架构可以提高集群的吞吐量和可靠性,当面临越来越多的数据时,并不能提升检索性能,所以在solr4.x之后,开始支持cloud模式的集群,可以将一份超大索引水平切分到多台机器上...基础环境如下: Centos6.5 JDK1.7 Apache Solr5.4.1 Apache Zookeeper3.4.6 下面看下如何安装集群: 假设外置zk集群已经搭建完毕,如果不知道怎么安装...zk实现,所有的词库和配置文件,都在集中zk上,所有的节点会从 zk上加载词库和scheml。...,在配置机器时,尽量提升机器的CPU,当然磁盘的IO也是越快越好,对写入性能有比较大影响。
版本:2.0 1 漏洞概述 近日,Apache Solr官方发布Apache Solr远程代码执行漏洞(CVE-2019-0193)安全通告,此漏洞存在于可选模块DataImportHandler中,DataImportHandler...参考链接: https://issues.apache.org/jira/browse/SOLR-13669 SEE MORE → 2影响范围 受影响版本 Apache Solr < 8.2.0 不受影响版本...Apache Solr >= 8.2.0 3漏洞检测 在Solr管理后台Dashboard仪表盘中,可查看当前Solr的版本信息。...EntityProcessorWrapper是一个比较关键的类,继承自EntityProcessor,在整个解析过程中起到重要的作用,可以参考https://lucene.apache.org/solr...由于脚本内容完全是用户控制的,当指定的script含有恶意代码时就会被执行,下面看一下Solr中如何执行javascript代码: 在读取EntityProcessorWrapper的每一个元素时,是通过
apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apache dataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地址进行通信...apache这个漏洞影响范围较广低于solr 8.2.0版本的都会受到漏洞的影响与攻击,本身这个solr模块就支持从远程的地址进行数据的收集与导入功能,当用户对dataimport进行使用的时候首先会调用...handleRequestBody类,并将请求的模块进行重新配置,默认代码会对params.getDataConfig()参数里post值进行判断,当值为空就不会加载dataconfig里的配置,截图如下...漏洞的产生就在这个里,攻击者构造恶意的代码在里,当dofulldump对齐解析并正则式的进行值转换,导致恶意代码被执行,这个可以写入很多java的类,apache并没有对内容进行安全过滤与限制,导致可以注入任意的恶意代码...首先请各位网站,服务器的运维人员对当前的apache solr版本继续查看,登录solr的控制面板,可以查看到当前的版本,如果低于8.2.0,说明存在漏洞,将solr的版本升级到最新版本,也可以对apache
开个玩笑,发音就是‘搜了’,专门用于搜索的一个开源框架,lunce就不说了,不好用,麻烦 来讲讲solr吧 目前最新更新的是6.0,4月7-8号更新的,哥不太喜欢用新出来的版本,多多少少会有bug,centos7...出来后我至今使用的是6.5(实在无法忍受7啊。。。...5.5吧 首先你得下载这个版本的包 地址: http://archive.apache.org/dist/lucene/solr/5.5.0/ ?...跪求送一把啊~~~) 那么8983就是搜索服务的端口啦 看到木有,启动成功了... 这logo我也就不说了,我当初的第一反应就是华为 ? 这边是一些版本信息: ?...:wq保存退出 拷贝日志文件到tomcat7下solr的classes中 ? 最后一步: 启动tomcat ? 日志: ? 截图留念: ? 版本信息,tomcat7噢~ ?
4.1.2 应用配置更改 学习配置不是最令人兴奋的任务,这样帮助你保持兴趣,我们建议你尝试配置更改这一章。您的更改不会应用,直到你重新加载Solr核心,然而。Solr solrconfig并不看变化。...如果你在本地运行Solr,点击刷新按钮的collection1核心包括验证功能。在本章结束时,我们会看到另一种方式重新加载内核编程,使用核心管理API。...加载依赖JAR文件 元素允许您添加JAR文件Solr的运行时类路径,这样就可以找到插件类。让我们来看看几个元素的solrconfig.xml示例。看到元素是如何工作的。....jar (fromcontrib/langid/lib/) ■ apache-solr-langid-4.7.0.jar (fromdist/) 注意,apache-solr-langid。...jar的版本号文件可能不同,这取决于您正在使用哪个版本的Solr 4。
ps:由于昨天推文次数已经用完,所以没有即时推送,今天补上 0x00背景介绍 Apache Solr 是一个开源的搜索服务器。...Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现 近日国外安全研究员s00py在Github上公开了Apache Solr Velocity的服务端模板注入漏洞的...攻击者在可以访问Solr控制台时,可以通过发送/节点名称/config的POST请求的方式对该项配置进行更改,当该配置被更改为true时用户将被允许通过设置请求中的参数来指定加载相关的资源,攻击者可以通过此功能构造恶意请求...Solr集成的VelocityResponseWriter组件,可以允许攻击者构造特定请求修改相关配置,使VelocityResponseWriter组件允许加载指定模板,从而导致Velocity模版注入远程命令执行漏洞...0x02漏洞等级 高危 0x03受影响版本 经过测试,目前影响Apache Solr 8.1.1到8.2.0版本。但是目前无法确定出现问题的API是何时引入,所以预估是影响全版本。
apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apache dataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地址进行通信...: apache这个漏洞影响范围较广低于solr 8.2.0版本的都会受到漏洞的影响与攻击,本身这个solr模块就支持从远程的地址进行数据的收集与导入功能,当用户对dataimport进行使用的时候首先会调用...handleRequestBody类,并将请求的模块进行重新配置,默认代码会对params.getDataConfig()参数里post值进行判断,当值为空就不会加载dataconfig里的配置,截图如下...漏洞的产生就在这个里,攻击者构造恶意的代码在里,当dofulldump对齐解析并正则式的进行值转换,导致恶意代码被执行,这个可以写入很多java的类,apache并没有对内容进行安全过滤与限制,导致可以注入任意的恶意代码...首先请各位网站,服务器的运维人员对当前的apache solr版本继续查看,登录solr的控制面板,可以查看到当前的版本,如果低于8.2.0,说明存在漏洞,将solr的版本升级到最新版本,也可以对apache
在Solr7版本中新增了跨核(solr 跨核概念,是建立在solr存储方式的基础上,因为使用solr前必须创建Core,Core即为solr的核,那不同的业务有可能在不同的核中,之前版本是不支持跨核搜索的...managed-schema配置文件决定着solr如何建立索引,每个字段的数据类型,分词方式等,老版本的schema配置文件的名字叫做schema.xml,配置方式就是手工编辑,5.0以后的版本的schema...如果使用手工编辑的方式更改配置不进行重加载core有可能会造成配置丢失。...3.如果由于配置文件异常导致Solr功能使用异常时,可以将自定义的模板删除 solrctl config --delete testcoreTemplate solrctl instancedir --...5.在将需要的jar包下载到执行目录下后,需要对solr服务进行重启,否则jar包不会生效,运行时会报错找不到jar包中的类。
: 框架版本如下: Centos6.5 Apache Hadoop2.7.1 Apache Hbase0.98.12 Apache Hive1.2.1 Apache Pig0.15.0...很漂亮,用来调试sql非常方便,如果你想使用工作流或者pig功能,那么就需要安装oozie了 oozie安装编译比较坑,这里需要注意一下,目前最新的版本oozie的最新版本是4.2.0,但是依赖的.../dist/oozie/4.2.0/oozie-4.2.0.tar.gz 2,解压至某个盘符,修改其根目录下的pom文件里面的pig(加载类是h2,代表hadoop2.x),hadoop,hbase...如果还想配置,solr,hbase,只要在hue.ini里面配置即可,注意hbase的服务,需要启动hbase的thrift端口才行, bin/hbase-daemon.sh start thrift...配置solr比较简单,支持写上solr的url即可: ?
一、简介 搜索是项目中常用的功能,对于大数据量的搜索,查询关系型数据库是非常低效的,好在有三方专门用于搜索的工具,常用的搜索解决方案为: 基于Apache Lucene实现 基于百度API实现 基于谷歌...处理完后返回数据 反向索引 搜索使用反向索引将大大提高搜索效率,正向索引与反向索引的区别如下: 正向索引:将查找内容分词,后根据分词完的词组,挨个进行搜索: 反向索引:内容存入数据源的同时进行分词,搜索时直接根据词组搜索...Web项目,所以需要先装好JDK 官网下载:https://solr.apache.org/downloads.html 1....q=com.github.magese,注意对应solr大版本 1..../solr start -force 界面上点击执行: 如果出错,可以查看/usr/local/solr-8.11.2/server/logs/solr.log的日志: tail -f solr.log
有时候,我们又需要将solr里面的数据加载到hive里面,使用sql完成一些join分析功能, 两者之间优劣互补,以更好的适应我们的业务需求。...当然网上已经有一些hive集成solr的开源项目,但由于 版本比较旧,所以无法在新的版本里面运行,经过散仙改造修补后的可以运行在最新的版本。 (三)如何才能使hive集成solr?...我们都知道MR的编程接口非常灵活,而且高度抽象,MR不仅仅可以从HDFS上加载 数据源,也可以从任何非HDFS的系统中加载数据,当然前提是我们需要自定义: InputFormat OutputFormat...(七)本次测试通过的基础环境 Apache Hadoop2.7.1 Apache Hive1.2.1 Apache Solr5.1.0 (八)感谢并参考的资料: https://github.com...https://github.com/chimpler/hive-solr https://cwiki.apache.org/confluence/display/Hive/DeveloperGuide
本文主要介绍solr的基本用法。首先,我们从Apache官网下载solr的二进制分发包,然后解压缩文件。...二进制分发包 可以去solr的官网去下载最新的solr版本,官网地址:http://lucene.apache.org/solr/ 。...lz使用的是solr 4.7,可以去Apache软件基金会存档库(http://archive.apache.org/dist/lucene/solr/4.7.0/) 中找到 solr 4.7。...contrib:此文件夹中包含扩展的源代码,例如:聚类、语种检测 dist:此文件夹中包含contrib模块的JAR包,例如,SolrJ客户端和Solr WAR。...Time spent: 0:00:00.303 post.jar文件通HTTP POST方式把 XML文档发送至solr。 此时,我们就有了一个加载了一些示例文档的Solr运行实例。
版本: 1.0 1漏洞概述 近日,绿盟科技监测到网上披露了Apache Solr的文件读取与SSRF漏洞,由于Apache Solr默认安装时未开启身份验证,导致未经身份验证的攻击者可利用Config...Apache Solr是 Apache Lucene 项目的开源企业搜索平台,由Java开发,运行于Servlet容器(如Apache Tomcat或Jetty)的一个独立的全文搜索服务器,主要功能包括全文检索...、命中标示、分面搜索、动态聚类、数据库集成,以及富文本的处理。...spm=a2c4g.11174386.n2.4.4fda1051uA9TBw 2影响范围 受影响版本 Apache Solr <= 8.8.1(全版本) 3漏洞防护 由于目前官方不予修复该漏洞,暂无安全版本...配置防火墙策略,确保Solr API(包括Admin UI)只有受信任的IP和用户才能访问。
Solr 搜索服务的搭建 总结一下solr 搜索服务的搭建 环境准备 需要JDK1.5以上版本,最新版的solr已经内置了tomcat ,无需准备可直接运行 Liunx 环境(这里我选用的是Centos6.5...solr 第四步 复制solr-6.4.1 目录下的内容到/usr/local/solr 下 cp -r solr-6.4.1/* /usr/local/solr 配置好的目录结构如下 ?...第五步、启动 solr (新版本的solr 可以直接启动,不用在单独准备tomcat) 首先进入 solr的bin目录 -p 为指定端口 默认为8983 start 为启动命令 restart...的${solr.data.dir:..../server/solr/one_core1’ 问题分析 此错误为创建core 时没有提前创建号目录 解决方案 在提示目录下创建 目录即可 mkdir -p /usr/local/solr/server
0x01 漏洞概述 该漏洞的产生是由于两方面的原因: 当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。...Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在...当设置params.resource.loader.enabled为true时,将允许用户通过设置请求中的参数来指定相关资源的加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行...(来自360CERT) 0x02 影响范围 Apache Solr 5.x - 8.2.0,存在config API版本 0x03 环境搭建 自行搭建: 使用vulhub中CVE-2019-0193的环境进行搭建...fr=aladdin 历史漏洞 CVE-2019-0193 Apache Solr 远程代码执行
0x00 简介 ---- Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。...0x01 漏洞概述 ---- 该漏洞的产生是由于两方面的原因: 当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。...Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在...当设置params.resource.loader.enabled为true时,将允许用户通过设置请求中的参数来指定相关资源的加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行...(来自360CERT) 0x02 影响范围 ---- Apache Solr 5.x - 8.2.0,存在config API版本 0x03 环境搭建 ---- 自行搭建: 使用vulhub中CVE
(百度经验即可) 4.2下载Solr 本文针对Solr4.2版本进行调研的,下文介绍内容均针对Solr4.2版本,如与Solr 最新版本有出入请以官方网站内容为准。...Solr官方网站下载地址:http://lucene.apache.org/solr/ 4.3下载并设置Apache Ant Solr是使用Ant进行管理的源码, Ant是一种基于Java的build工具...默认是设置成falseanalyzer字段类型指定的分词器type当前分词用用于的操作.index代表生成索引时使用的分词器query代码在查询时使用的分词器tokenizer分词器类filter分词后应用的过滤器...若考虑到检索大型 Document 的代价,除非必需,否则就应该避免加载整个文档。...服务,启动过程中如果配置出错,一般有两个原因:一是配置的分词器jar找不到,也就是你没有复制jar包到\solr\contrib\analysis-extras\lib目前下;二是分词器版本不对导致的分词器接口
Solr单机版安装 安装环境 solar基于基于java,所以需要jdk,部署在tomcat上所以需要tomcat 点击查看JDK与Tomcat安装与下载 安装solr Solr 版本:solr...否则 tomcat 再次启动时,会将原来的目录覆盖掉。那么新添加的 jar 包也就没了。注意:在删除 war 包时,一定要在 tomcat 关闭的状态下 删除 solr.war 包。...Class: 域类型的数据类型,该属性指向的是 solr 中的已定义的类型,或者是用户定 义的类型,域类型中的数据会被初始化成 class 执行类类的对象。...页面主要模块功能介绍 名称 作用 Dashboard(仪表盘) 访问 http://localhost:8080/solr 时,出现该主页面,可查看到 solr 运行时间、solr 版本, 系统内存、虚拟机内存的使用情况...(重 新加载核心),Optimize(优化索引库) Add Core 是添加 core : 主 要 是 在 instanceDir 对 应 的 文 件 夹 里 生 成 一 个 core.properties
领取专属 10元无门槛券
手把手带您无忧上云