关键漏洞信息 漏洞ID: SOLR-4882 标题: Restrict SolrResourceLoader to only classloader accessible files and instance dir 类型: Improvement 优先级: Major 受影响版本: 4.3 组件: None 标签: security 状态: Resolved 解决状态: Fixed 修复版本: 4.6, 6.0 负责人: Uwe Schindler 报告人: Uwe Schindler 创建时间: 30/May/13 20:03 更新时间: 09/May/16 18:49 解决时间: 21/Sep/13 14:59 描述 问题: SolrResourceLoader允许从任何绝对路径或当前工作目录(CWD)相对路径加载文件,这作为通过类加载器查找资源失败时的后备机制。 原因: 这是一个安全相关的问题。某些Solr组件允许通过REST参数传递资源路径(如XSL样式表、velocity模板等),并通过资源加载器加载。这可能导致加载如 等文件作为样式表。 解决方案: 应限制该后备机制仅允许加载实例目录下子目录中的文件,移除CWD特殊情况。在4.4版本中,应添加 设置以启用旧行为,但默认禁用,除非现有安装需要从实例目录外部加载文件。Lucene 5.0不再支持此行为。 附件 SOLR-4882.patch (14 kB, 21/Sep/13 14:33) SOLR-4882.patch (12 kB, 31/May/13 17:39) SOLR-4882.patch (10 kB, 31/May/13 12:34) 问题链接 依赖于此问题: SOLR-5520 (Backport some security fixes from 4.x to 3.6.x branch, Resolved)