草庐IT

Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)

一、ApacheSolr介绍Solr是一个独立的企业级搜索应用服务器,它对外提供类似于web-service的API接口,用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引,也可以通过httpget操作提出查找请求,并得到XML格式的返回结果。二、漏洞描述Solr中存在VelocityResponseWriter组件,攻击者可以构造特定请求修改相关配置,使VelocityResponseWriter组件允许加载指定模板,进而导致Velocity模版注入远程命令执行漏洞,攻击者利用该漏洞可以直接获取到服务器权限。漏洞产生原因:在其5.0.0到8.3.1版本中,用户可以注

Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)

一、ApacheSolr介绍Solr是一个独立的企业级搜索应用服务器,它对外提供类似于web-service的API接口,用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引,也可以通过httpget操作提出查找请求,并得到XML格式的返回结果。二、漏洞描述Solr中存在VelocityResponseWriter组件,攻击者可以构造特定请求修改相关配置,使VelocityResponseWriter组件允许加载指定模板,进而导致Velocity模版注入远程命令执行漏洞,攻击者利用该漏洞可以直接获取到服务器权限。漏洞产生原因:在其5.0.0到8.3.1版本中,用户可以注

在 Sitecore 里使用 Solr 搜索 SortOrder 关联的 Item

在C#使用Solr搜索sitecore的配置信息文件可直接丢进\App_Config下,sitecore会自动检测配置文件更新并加载到内存中。通常情况下,配置信息文件是放在\App_Config\Include\下,为你项目名。通过配置启用SortOrder字段并获取SortOrdersitecore默认是移除了SortOrder字段的,不过可通过打个补丁修改配置信息,如下配置xml启用SortOrder字段。但是这种启用SortOrder字段有个不好的地方,当字段值为空时,在Solr里是找不到此字段的,且值类型为string类型。EnableSortOrder_Patch.configC#C

在 Sitecore 里使用 Solr 搜索 SortOrder 关联的 Item

在C#使用Solr搜索sitecore的配置信息文件可直接丢进\App_Config下,sitecore会自动检测配置文件更新并加载到内存中。通常情况下,配置信息文件是放在\App_Config\Include\下,为你项目名。通过配置启用SortOrder字段并获取SortOrdersitecore默认是移除了SortOrder字段的,不过可通过打个补丁修改配置信息,如下配置xml启用SortOrder字段。但是这种启用SortOrder字段有个不好的地方,当字段值为空时,在Solr里是找不到此字段的,且值类型为string类型。EnableSortOrder_Patch.configC#C

关于linux:在Tomcat中更改时区

ChangeTimezoneinTomcat如何更改Tomcat中的时区?其中一个webapps(Solr)使用的时区不正确(与MySQL时间戳相比),我认为更改Tomcat的时区会有所帮助。谢谢!solr以什么用户身份运行,它的环境设置为什么?我将solr作为tomcatwebapp加载,并且tomcat6以用户tomcat的身份运行。Tomcat6在CentOS6.3的8080端口上运行。除非tomcat有个人TZ环境变量,否则它使用/etc/localtime在我的系统上是/usr/share/zoneinfo/America/New_York的副本。Tomcat的个人时区将在其启动脚本

关于linux:在Tomcat中更改时区

ChangeTimezoneinTomcat如何更改Tomcat中的时区?其中一个webapps(Solr)使用的时区不正确(与MySQL时间戳相比),我认为更改Tomcat的时区会有所帮助。谢谢!solr以什么用户身份运行,它的环境设置为什么?我将solr作为tomcatwebapp加载,并且tomcat6以用户tomcat的身份运行。Tomcat6在CentOS6.3的8080端口上运行。除非tomcat有个人TZ环境变量,否则它使用/etc/localtime在我的系统上是/usr/share/zoneinfo/America/New_York的副本。Tomcat的个人时区将在其启动脚本