您也可以通过 ATOM feed 阅读这些新闻。
随着 Lucene 10 的发布,以及 Lucene 8 达到 EOL,Apache Lucene 和 Solr PMC 团队不再能够为 Solr 8 提供新的版本。Solr 8.11.4 将是 Solr 8 的最后一个版本。
强烈建议用户升级到 Solr 9,并为即将发布的 Solr 10 做好准备。
严重性
严重
受影响版本
描述
Apache Solr 中存在不正确的身份验证漏洞。
使用 PKIAuthenticationPlugin 的 Solr 实例(当使用 Solr 身份验证时,默认启用)容易受到身份验证绕过攻击。在任何 Solr API URL 路径末尾添加伪造的结尾,将允许请求跳过身份验证,同时保持与原始 URL 路径的 API 约定。这个伪造的结尾看起来像一个不受保护的 API 路径,但在身份验证后但在 API 路由之前会在内部被剥离。
缓解措施
建议用户升级到 9.7.0 或 8.11.4 版本,这些版本修复了此问题。
致谢: 刘华金(报告人)
参考
JIRA - SOLR-17417
CVE - CVE-2024-45216
严重性
中等
受影响版本
描述
Apache Solr 中存在不安全的资源默认初始化漏洞。
通过 Restore 命令创建的新 ConfigSets(从备份中复制 configSet 并赋予其新名称)在创建时未设置 “trusted” 元数据。如果元数据缺失,则不包含该标志的 ConfigSets 将被隐式信任,因此会导致 “trusted” ConfigSets 可能不是通过经过身份验证的请求创建的。“trusted” ConfigSets 能够将自定义代码加载到类加载器中,因此该标志应该仅在上传 ConfigSet 的请求经过身份验证和授权时才设置。
缓解措施
此问题影响 Apache Solr:从 6.6.0 至 8.11.4 之前的版本,从 9.0.0 至 9.7.0 之前的版本。此问题不影响通过身份验证/授权保护的 Solr 实例。
建议用户在运行 Solr 时主要使用身份验证和授权。但是,升级到 9.7.0 或 8.11.4 版本也会缓解此问题。
致谢: 刘华金(报告人)
参考
JIRA - SOLR-17418
CVE - CVE-2024-45217
Lucene 和 Solr PMC 团队很高兴地宣布 Apache Solr 8.11.4 的发布。
Solr 是基于 Apache Lucene 构建的快速、开源、多模式搜索平台。它为全球许多大型组织提供全文、分析和地理空间搜索功能。其他主要功能包括 Kubernetes 和 Docker 集成、流式处理、高亮显示、分面和拼写检查。
Solr 8.11.4 可立即在以下位置下载
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_11/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/docs/8_11_4/changes/Changes.html
Solr 8.11.4 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_11_4/changes/Changes.html
Solr PMC 团队很高兴地宣布 Apache Solr 9.7.0 的发布。
Solr 是基于 Apache Lucene 构建的快速、开源、多模式搜索平台。它为全球许多大型组织提供全文、向量、分析和地理空间搜索功能。其他主要功能包括 Kubernetes 和 Docker 集成、流式处理、高亮显示、分面和拼写检查。
该版本可立即在以下位置下载
https://solr.apache.org/downloads.html
性能改进
还有更多更改和细节需要阅读;这只是一个经过编辑的摘要。
有关详细的更改列表,请阅读 CHANGES.txt
https://solr.apache.org/docs/9_7_0/changes/Changes.html
升级时,请务必阅读升级说明
感谢所有贡献者
David Smiley、Eric Pugh、Jason Gerlowski、hossman、Houston Putman、Pierre Salagnac、Christine Poerschke、Christos Malliaridis、Michael Gibney、Sanjay Dutt、Yohann Callea、janhoy、Liu Huajin、Andrey Bozhko、Lamine Idjeraoui、Ishan Chattopadhyaya、Mark Miller、noble、Gus Heck、Matthew Biscocho、Alexey Serba、Rafał Harabień、Eivind Bergstøl、Calvin Smith、Tomás Fernández Löbbe、@charlygrappa、Alastair Porter、ellaeln、Patson Luk、Vinayak Hegde、Kevin Risden、Rudy Seitz、@hgdharold、Bostoi、Torsten Bøgh Köster、Hakan Özler、Andy Webb、Stephen Woods、Anshum Gupta
Solr PMC 团队很高兴地宣布 Apache Solr 9.6.1 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.6.1 可立即在以下位置下载
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_6/upgrade-notes/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/9_6_1/changes/Changes.html
感谢所有贡献者!
hossman、Houston Putman、Jan Høydahl、Andy Webb、Christine Poerschke、Aparna Suresh、David Smiley、Vincent Primault
Solr PMC 团队很高兴地宣布 Apache Solr 9.6.0 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.6.0 可立即在以下位置下载
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_6/upgrade-notes/solr-upgrade-notes.html
有关新功能、更改和错误修复的完整列表,请阅读 CHANGES.txt
https://solr.apache.org/9_6_0/changes/Changes.html
感谢所有贡献者!
hossman、David Smiley、Michael Gibney、Paul McArthur、Jan Høydahl、James Dyer、Eric Pugh、Andrey Bozhko、Andrzej Bialecki、Rahul Goswami、Bruno Roustant、Jason Gerlowski、Sanjay Dutt、Vincent Primault、Christine Poerschke、Gus Heck、Shawn Heisey、Vincenzo D'Amore、Yohann Callea、Julien Pilourdault、Wei Wang、Mikhail Khludnev、Antoine Bursaux、Rishi Sankar、Pierre Salagnac、Aparna Suresh、Alessandro Benedetti、Mathieu Marie、Przemyslaw Ciezkowski
严重性
中等
受影响版本
Solr Operator 0.3.0 到 0.8.0
描述: Apache Solr Operator 中存在将敏感信息插入日志文件的漏洞。
为了引导 Solr 安全性,Operator 将启用基本身份验证,并创建多个用于访问 Solr 的帐户:包括供最终用户使用的“solr”和“admin”帐户,以及 Operator 用于其自身向 Solr 发出请求的“k8s-oper”帐户。这些 Operator 请求的一个常见来源是健康检查:活性、就绪和启动探针都用于确定 Solr 的健康状况和接收流量的能力。默认情况下,Operator 配置用于这些探针的 Solr API 不需要身份验证,但用户可以明确要求探针端点也需要身份验证。每当其中一个探针失败时,如果使用了身份验证,Solr Operator 将创建一个包含“k8s-oper”帐户用户名和密码的 Kubernetes“事件”。
在受影响的版本范围内,此漏洞会影响任何满足以下条件的 solrcloud 资源:(1)通过使用 .solrOptions.security.authenticationType=basic 选项引导了安全性,并且(2)通过设置 .solrOptions.security.probesRequireAuth=true 要求在探针上使用身份验证。
缓解措施: 建议用户升级到 Solr Operator 版本 0.8.1,该版本通过确保探针不再打印用于 Solr 请求的凭据来修复此问题。用户还可以通过使用设置 .solrOptions.security.probesRequireAuth=false 来禁用其健康检查探针上的身份验证,从而缓解此漏洞。
参考
JIRA - SOLR-17216
CVE - CVE-2024-31391
Solr PMC 很高兴宣布发布 Apache Solr 9.5.0。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.5.0 可立即下载,地址为:
https://solr.apache.org/downloads.html
<clusterSingleton> solr.xml 标签,作为在“不可变基础设施”友好方式下配置节点级插件的一种手段。这为使用 /cluster/plugins API 在“实时”集群中管理插件提供了替代方案。有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_5/upgrade-notes/solr-upgrade-notes.html
有关新功能、更改和错误修复的完整列表,请阅读 CHANGES.txt
https://solr.apache.org/9_5_0/changes/Changes.html
Lucene 和 Solr PMC 很高兴宣布发布 Apache Solr 8.11.3。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.11.3 可立即下载,地址为:
https://lucene.apache.org/solr/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_11/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/docs/8_11_3/changes/Changes.html
Solr 8.11.3 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_11_3/changes/Changes.html
严重性
中等
受影响版本
描述
Apache Solr 中凭据保护不足漏洞。
此问题影响 Apache Solr:从 6.0.0 到 8.11.2,从 9.0.0 到 9.3.0 之前。发布 Solr 进程的 Java 系统属性的两个端点之一,/admin/info/properties,仅设置为隐藏名称中包含“password”的系统属性。有许多敏感的系统属性,例如“basicauth”和“aws.secretKey”不包含“password”,因此它们的值通过“/admin/info/properties”端点发布。此端点在 Solr 管理页面的主屏幕上填充系统属性列表,使公开的凭据在 UI 中可见。
此 /admin/info/properties 端点受“config-read”权限保护。因此,启用授权的 Solr Cloud 仅在登录用户具有“config-read”权限时才会容易受到攻击。建议用户升级到 9.3.0 或 8.11.3 版本,该版本修复了此问题。现在,单个选项控制所有端点的 Java 系统属性隐藏,“-Dsolr.hiddenSysProps”。默认情况下,所有已知的敏感属性都被隐藏(包括“-Dbasicauth”),以及任何名称包含“secret”或“password”的属性。
无法升级的用户还可以使用以下 Java 系统属性来修复此问题
-Dsolr.redaction.system.pattern=".*(password|secret|basicauth).*"
缓解措施
建议用户升级到 8.11.3、9.3.0 或更高版本,这些版本具有一致的 systemProperty 编辑逻辑。
致谢: Michael Taggart(报告者)
参考
JIRA - SOLR-16809
CVE - CVE-2023-50291
严重性
中等
受影响版本
描述
Apache Solr 中关键资源的不正确权限分配,对动态管理的代码资源的不当控制漏洞。
此问题影响 Apache Solr:从 8.10.0 到 8.11.2,从 9.0.0 到 9.3.0 之前。
引入 Schema Designer 是为了让用户更容易地配置和测试新的 Schema 和配置集。但是,在创建该功能时,没有考虑这些配置集的“信任”(身份验证)。外部库加载仅适用于“受信任”(由经过身份验证的用户创建)的配置集,因此未经身份验证的用户无法执行远程代码执行。由于 Schema Designer 在加载配置集时没有考虑它们的“信任”,因此在 Schema Designer 中使用时,允许由未经身份验证的用户创建的配置集加载外部库。
缓解措施
建议用户升级到 8.11.3、9.3.0 或更高版本。
致谢: Skay(报告者)
参考
JIRA - SOLR-16777
CVE - CVE-2023-50292
严重性
低
受影响版本
描述
Apache Solr 中敏感信息暴露给未经授权的参与者漏洞。此问题影响 Apache Solr:从 6.0.0 到 8.11.2,从 9.0.0 到 9.4.1 之前。
Solr 流式表达式允许用户使用“zkHost”参数从其他 Solr Cloud 中提取数据。当原始 SolrCloud 设置为使用 ZooKeeper 凭据和 ACL 时,它们将被发送到用户提供的任何“zkHost”。攻击者可以设置一个服务器来模拟 ZooKeeper,该服务器接受带有凭据和 ACL 的 ZooKeeper 请求并提取敏感信息,然后使用模拟服务器的地址在“zkHost”中发送流式表达式。流式表达式通过“/streaming”处理程序公开,具有“read”权限。
缓解措施
建议用户升级到 8.11.3 或 9.4.1 版本,这些版本修复了此问题。从这些版本开始,只有具有相同服务器地址(无论 chroot)的 zkHost 值,在连接时才会使用给定的 ZooKeeper 凭据和 ACL。
致谢: Qing Xu(报告者)
参考
JIRA - SOLR-17098
CVE - CVE-2023-50298
严重性
中等
受影响版本
描述
Apache Solr 中对动态管理的代码资源的不当控制、不受限制的危险类型文件上传、包含来自不受信任的控制范围的功能漏洞。此问题影响 Apache Solr:从 6.0.0 到 8.11.2,从 9.0.0 到 9.4.1 之前。
在受影响的版本中,Solr ConfigSets 允许通过 ConfigSets API 上传 Java jar 和 class 文件。当备份 Solr Collections 时,如果使用 LocalFileSystemRepository(备份的默认设置),这些 configSet 文件将被保存到磁盘。如果备份被保存到 Solr 在其 ClassPath/ClassLoaders 中使用的目录,那么这些 jar 和 class 文件将可用于任何 ConfigSet,无论是受信任的还是不受信任的。
当 Solr 以安全方式运行时(启用授权,强烈建议这样做),此漏洞仅限于扩展备份权限,使其能够添加库。
缓解措施
建议用户升级到 8.11.3 或 9.4.1 版本,这些版本修复了此问题。在这些版本中,添加了以下保护措施:
致谢: L3yx(报告者)
参考
JIRA - SOLR-16949
CVE - CVE-2023-50386
Solr PMC 很高兴宣布 Apache Solr 9.4.1 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.4.1 可立即从以下位置下载:
https://solr.apache.org/downloads.html
9.4 版本中 JSON Query API 的一个重大回归是促成此版本发布的主要原因。此外,还添加了一些面向安全的改进/修复,并升级了许多传递依赖项。
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_4/upgrade-notes/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/9_4_1/changes/Changes.html
严重性
重要
受影响版本
Solr 9.0 至 9.2.1
描述
Apache Solr 中存在将敏感信息暴露给未经授权的参与者的漏洞。Solr Metrics API 发布每个 Apache Solr 实例可用的所有未受保护的环境变量。用户可以指定要隐藏哪些环境变量,但是,默认列表旨在用于已知的秘密 Java 系统属性。与 Java 系统属性不同,环境变量不能像 Java 系统属性那样在 Solr 中严格定义,并且可能会为整个主机设置,而 Java 系统属性是按每个 Java 进程设置的。
Solr Metrics API 受“metrics-read”权限保护。因此,只有具有“metrics-read”权限的用户才能在设置了授权的 Solr Clouds 中利用此漏洞。
缓解措施
建议用户升级到 9.3.0 或更高版本,在该版本中,环境变量不会通过 Metrics API 发布。
参考
JIRA - SOLR-15233
CVE - CVE-2023-50290
Solr PMC 很高兴宣布 Apache Solr 9.4.0 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.4.0 可立即从以下位置下载:
https://solr.apache.org/downloads.html
rid 机制。有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_4/upgrade-notes/solr-upgrade-notes.html
有关新功能、更改和错误修复的完整列表,请阅读 CHANGES.txt
https://solr.apache.org/9_4_0/changes/Changes.html
Solr PMC 很高兴宣布 Apache Solr 9.3.0 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.3.0 可立即从以下位置下载:
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_3/upgrade-notes/solr-upgrade-notes.html
有关新功能、更改和错误修复的完整列表,请阅读 CHANGES.txt
https://solr.apache.org/9_3_0/changes/Changes.html
Solr PMC 很高兴宣布 Apache Solr 9.2.1 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.2.1 可立即从以下位置下载:
https://solr.apache.org/downloads.html
_JAVA_OPTIONS 时的 Java 版本检测有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_2/upgrade-notes/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/9_2_1/changes/Changes.html
Solr PMC 很高兴宣布 Apache Solr 9.2.0 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.2.0 可立即从以下位置下载:
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_2/upgrade-notes/solr-upgrade-notes.html
有关新功能、更改和错误修复的完整列表,请阅读 CHANGES.txt
https://solr.apache.org/9_2_0/changes/Changes.html
Solr PMC 很高兴宣布 Apache Solr 9.1.1 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.1.1 可立即从以下位置下载:
https://solr.apache.org/downloads.html
错误修复
q=*:*&start=10)对 MatchAllDocs 进行分页时的 NPE其他
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_1/upgrade-notes/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/9_1_1/changes/Changes.html
受影响版本
Solr 6.5 至 8.11.2 Solr 9.0
描述
Apache Calcite 存在一个漏洞,CVE-2022-39135,该漏洞在 Apache Solr 的 SolrCloud 模式下可被利用。如果一个不受信任的用户可以向 Solr 的 “/sql” 处理程序提供 SQL 查询(即使是通过代理或其他应用程序间接提供),那么该用户可以执行 XML 外部实体 (XXE) 攻击。一些 Solr 部署者可能为了方便内部分析师使用基于 JDBC 的工具而暴露了此功能,但不太可能将其授予更广泛的受众。
影响
XXE 攻击可能导致机密数据泄露、拒绝服务、服务器端请求伪造 (SSRF)、从 Solr 节点进行端口扫描以及其他系统影响。
缓解措施
大多数 Solr 安装都没有使用 SQL 功能。对于此类用户,使用防火墙的标准 Solr 安全建议应该足够。尽管如此,该功能可以被禁用。从 Solr 9 开始,它已经被模块化,因此成为可选功能,对于不使用它的 Solr 9 用户来说,无需任何操作。不使用 SolrCloud 的用户根本无法使用该功能。对于其他希望禁用它的用户,您必须在 solrconfig.xml 中注册一个请求处理程序,以屏蔽底层功能,如下所示
<requestHandler name="/sql" class="solr.NotFoundRequestHandler"/>
需要此 SQL 功能的用户必须升级到 Solr 9.1。如果发布 Solr 8.11.3,那么它也将是一个选择。简单地替换 Calcite 和其他 JAR 文件可能在大多数情况下有效,但可能会因查询的具体情况而失败。对此感兴趣的用户或希望修补自己版本的 Solr 的用户应查看 SOLR-16421 以获取源代码补丁。
致谢
CoreMedia GmbH 的 Andreas Hubold
参考
JIRA - SOLR-16421
CVE - CVE-2022-39135
Solr PMC 很高兴地宣布 Apache Solr 9.1.0 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.1.0 可立即从以下网址下载
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/solr/9_1/upgrade-notes/solr-upgrade-notes.html
有关新功能、更改和错误修复的完整列表,请阅读 CHANGES.txt
https://solr.apache.org/9_1_0/changes/Changes.html
一些在 OpenJDK 17 上运行 Solr 的用户遇到了由 JDK 中已知错误导致的 JVM 崩溃。请在 SOLR-16463 中阅读有关该错误的更多信息。
已知的缓解措施是降级到 JDK 11 或使用避免故障条件的 Java 启动标志来启动 Solr。以下是如何手动应用该标志
编辑您的 solr.in.sh 或 solr.in.cmd 文件,将 SOLR_OPTS 环境变量设置为如下
Linux
SOLR_OPTS=-XX:CompileCommand=exclude,com.github.benmanes.caffeine.cache.BoundedLocalCache::put
Windows
SET SOLR_OPTS=-XX:CompileCommand=exclude,com.github.benmanes.caffeine.cache.BoundedLocalCache::put
或者,您可以使用 -a 参数注入相同的标志,例如
bin/solr -a "-XX:CompileCommand=exclude,com.github.benmanes.caffeine.cache.BoundedLocalCache::put"
如果您使用官方 Docker 镜像运行 Solr 9,我们已经将更新的 Docker 镜像推送到 Docker Hub,该镜像将为您注入该标志。只需再次拉取镜像即可获取它。Docker 镜像使用 -a 选项在运行 Solr 时设置此 java 标志,因此如果您使用 -a 选项,则除了您正在设置的其他标志之外,还需要提供上面提到的 JVM 标志。
Solr 8.11 的官方 docker 镜像一直在 Oracle OpenJDK 11 JRE 上运行。然而,由于 Oracle 的新发布策略,他们现在不再提供对 JDK11 的支持。由于 Apache Solr 项目仍在支持 Solr 8.11,我们需要切换到另一个具有 JDK11 支持的 OpenJDK 供应商。我们选择了来自 Adoptium 项目的 Eclipse Temurin。这与我们用于 Solr 9 镜像的供应商相同,他们的 JDK11 支持将持续到 2024 年 10 月。
用户应该意识到,在您下次 docker pull solr:8.11.2 时,您将被升级。对于大多数用户来说,不会有任何问题,因为它主要是同一上游 OpenJDK 版本的新发行版。但是,如果您将我们的镜像用作基础镜像并依赖于特定工具的存在,则可能需要进行调整。虽然 openjdk:11-jre 使用 Debian GNU/Linux 11 (bullseye),但 eclipse-temurin:11-jre-focal 镜像使用 Ubuntu 20.04.5 LTS (Focal Fossa)。
此外,现在 solr:11-jre 和 solr:11-jre-slim 镜像之间没有区别,因为我们的新供应商只提供一个已经相当精简的变体。
Solr 9 于 5 月 12 日发布,使用 eclipse-temurin:17-jre 基础镜像。因此,我们固定在 Java 17 上,Solr 的 Docker 镜像将始终使用更新的 Java 17 版本。如果您不时拉取 docker 镜像,情况就是这样。
然而,基础镜像标签 17-jre 没有让我们固定到特定的 Ubuntu Linux 主要版本。在 5 月 12 日的 Solr 9 发布时,它会拉取 Ubuntu 20.04 (Focal Fossa),但在 5 月底,它被 自动升级到全新的 Ubuntu 22.04 (Jammy Jellyfish)。这不是我们的意愿,我们了解到由于这个原因,我们的镜像不再与 20.10.16 之前的 Docker 客户端版本兼容。拥有像这样的“浮动” Linux 版本也会以其他微妙的方式破坏镜像,以及破坏将我们用作基础镜像的下游镜像。
因此,我们决定开始不仅固定 Java 版本,还在我们的官方 Docker 镜像中固定 Linux 版本。这意味着 Solr 9.0 再次基于 Ubuntu 20.04 Focal,即降级。
请注意,我们的镜像仍会不时收到重要的 Linux 错误修复,但除非您重新拉取镜像,否则您不会收到它们。当我们将来升级到 Ubuntu 22.04 时,这将是一个深思熟虑的决定,而不是意外。
Lucene 和 Solr PMC 很高兴地宣布 Apache Solr 8.11.2 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.11.2 可立即从以下网址下载
https://solr.apache.org/downloads.html
安全
错误修复
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_11/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/docs/8_11_2/changes/Changes.html
Solr 8.11.2 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_11_2/changes/Changes.html
Solr PMC 很高兴地宣布 Apache Solr 9.0.0 的发布。
Solr 是来自 Apache Solr 项目的流行、快速、开源的 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中高亮显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为许多全球大型网站的搜索和导航功能提供支持。
Solr 9.0.0 可立即从以下网址下载
https://solr.apache.org/downloads.html
这是一个具有重大更改的主要版本发布。以下亮点不是完整列表。在计划升级时,请查阅“Solr 升级说明”
https://solr.apache.org/guide/solr/9_0/upgrade-notes/solr-upgrade-notes.html
有关新功能、更改和错误修复的完整列表,请阅读 CHANGES.txt
https://solr.apache.org/9_0_0/changes/Changes.html
严重性
中等
受影响版本
8.11.1 之前的所有版本。受影响的平台:Windows。
描述
Apache Solr 的 DataImportHandler 中存在一个不正确的输入验证漏洞,允许攻击者提供 Windows UNC 路径,导致从 Solr 主机向网络上的另一个主机发出 SMB 网络调用。如果攻击者对网络具有更广泛的访问权限,这可能会导致 SMB 攻击,从而导致
此问题影响 8.11.1 之前的所有 Apache Solr 版本。此问题仅影响 Windows 系统。
缓解措施
请升级到 Solr 8.11.1,和/或确保只有受信任的客户端可以向 Solr 的 DataImport 处理程序发出请求。
致谢
Apache Solr 感谢 Nsfocus 安全团队的 LaiHan 报告此问题
参考
Jira 问题 SOLR-15826
Lucene PMC 很高兴地宣布 Apache Solr 8.11.1 发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.11.1 可立即在以下位置下载:
https://lucene.apache.org/solr/downloads.html
安全
错误修复
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_11/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/docs/8_11_1/changes/Changes.html
严重性: 严重
受影响的版本: 7.4.0 至 7.7.3、8.0.0 至 8.11.0
描述: 8.11.1 之前的 Apache Solr 版本使用了捆绑的 Apache Log4J 库版本,该版本容易受到 RCE 攻击。有关完整影响和更多详细信息,请参阅 Log4J 安全页面。
7.4 之前的 Apache Solr 版本(即 Solr 5、Solr 6 和 Solr 7 至 7.3)使用 Log4J 1.2.17,对于使用包含 JMS Appender 的非默认日志配置的安装,可能存在漏洞,请参阅 https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126 进行讨论。
Solr 的 Prometheus Exporter 也使用 Log4J,但它不会记录用户输入或数据,因此我们认为没有风险。
Solr 不受 后续的 CVE-2021-45046 和 CVE-2021-45105 漏洞的影响。这些和其他 CVE 的列表以及一些理由列在 Solr 的 Wiki 中:https://cwiki.apache.org/confluence/display/SOLR/SolrSecurity#SolrSecurity-SolrandVulnerabilityScanningTools
缓解措施: 以下任何一种方法都足以防止 Solr 服务器出现此漏洞
Solr 8.11.1 或更高版本(可用时),这将包括 Log4J 依赖项的更新版本 (>= 2.16.0)。solr.in.sh 文件以包含:SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"solr.in.cmd 文件以包含:set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=trueLog4J 安全页面将设置 log4j2.formatMsgNoLookups=true 称为“不可靠的”缓解措施。实际上,这取决于具体情况。我们研究了根本原因并审核了导致漏洞的代码路径,并且我们相信此缓解措施足以满足 Solr 的要求。有关讨论,请参阅 https://lists.apache.org/thread/kgh63sncrsm2bls884pg87mnt8vqztmz。
参考: https://logging.apache.org/log4j/2.x/security.html
Solr PMC 很高兴地宣布 Apache Solr 8.11.0 发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.11.0 可立即在以下位置下载:
https://solr.apache.org/downloads.html
MultiAuthPlugin(用于身份验证)和 MultiAuthRuleBasedAuthorizationPlugin(用于授权)类,以支持多种身份验证方案,例如 Bearer 和 Basic。这允许管理 UI 使用 OIDC (JWTAuthPlugin) 对用户进行身份验证,同时仍然支持命令行工具和 Prometheus 导出器的基本身份验证。
Solr 参考指南中发布了重要更改的摘要,网址为 https://solr.apache.org/guide/8_11/solr-upgrade-notes.html。
有关最详尽的列表,请参阅完整发行说明,网址为 https://solr.apache.org/8_11_0/changes/Changes.html 或查看随发行版附带的 CHANGES.txt 文件。
Solr 的发行说明通常不包括 Lucene 层面的更改。Lucene 的发行说明位于 https://lucene.apache.org/core/8_11_0/changes/Changes.html
Solr PMC 很高兴地宣布 Apache Solr 8.10.1 发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.10.1 可立即在以下位置下载:
https://solr.apache.org/downloads.html
Solr 参考指南中发布了重要更改的摘要,网址为 https://solr.apache.org/guide/8_10_1/solr-upgrade-notes.html。
有关最详尽的列表,请参阅完整发行说明,网址为 https://solr.apache.org/8_10_1/changes/Changes.html 或查看随发行版附带的 CHANGES.txt 文件。
Solr 的发行说明通常不包括 Lucene 层面的更改。Lucene 的发行说明位于 https://lucene.apache.org/core/8_10_1/changes/Changes.html
Solr PMC 很高兴地宣布 Apache Solr 8.10.0 发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.10.0 可立即在以下位置下载:
https://solr.apache.org/downloads.html
备份/还原到/从 Amazon S3 (SOLR-15089); 包括将 AWS SDK 升级到 v2 (SOLR-15599)
一个新的管理 UI 屏幕,可从示例数据以交互方式设计您的 Solr 模式和支持的 ConfigSet 文件 (SOLR-15277)
一个新的管理 UI 屏幕,用于管理用户、角色和权限 (SOLR-15527)
Solr 并行 SQL 接口的几项增强和错误修复,包括将 Apache Calcite 升级到 1.27.0 (SOLR-15460, SOLR-15451, SOLR-15456, SOLR-15461, SOLR-15489, SOLR-15475, SOLR-15499, SOLR-15570, SOLR-15576, SOLR-9853, SOLR-15579, SOLR-15566)
Solr 参考指南中发布了重要更改的摘要,网址为 https://solr.apache.org/guide/8_10/solr-upgrade-notes.html。
有关最详尽的列表,请参阅完整发行说明,网址为 https://solr.apache.org/8_10_0/changes/Changes.html 或查看随发行版附带的 CHANGES.txt 文件。
Solr 的发行说明通常不包括 Lucene 层面的更改。Lucene 的发行说明位于 https://lucene.apache.org/core/8_10_0/changes/Changes.html
Solr PMC 很高兴地宣布 Apache Solr 8.9.0 发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.9.0 可立即在以下位置下载:
https://solr.apache.org/downloads.html
备份/还原:支持增量备份、支持将备份存储在 Google Cloud Storage (GCS) 中、能够在现有集合之上进行还原。改进的 v2 API。有关详细信息,请参阅 CHANGES.txt。(SOLR-15087, SOLR-15090, SOLR-13608, SOLR-15101)
监控:Grafana 仪表板中的新“Solr 集群”行、改进的 Zookeeper 监控、CLUSTERSTATUS 中的新分片运行状况信息等。有关详细信息,请参阅 CHANGES.txt。(SOLR-15365, SOLR-15397, SOLR-15300, SOLR-15081, SOLR-15383)
弃用:指标历史记录功能已弃用,将在 9.0 中删除 (SOLR-15416)
管理 UI:查询页面现在将状态存储在 URL 中,并且可以轻松共享 (SOLR-6152)
安全:Jetty 服务器升级到 9.4.41,修复了一些已知漏洞 (SOLR-15316)
Solr 参考指南中发布了重要更改的摘要,网址为 https://solr.apache.org/guide/8_9/solr-upgrade-notes.html。
有关最详尽的列表,请参阅完整发行说明,网址为 https://solr.apache.org/8_9_0/changes/Changes.html 或查看随发行版附带的 CHANGES.txt 文件。
Solr 的发行说明通常不包括 Lucene 层面的更改。Lucene 的发行说明位于 https://lucene.apache.org/core/8_9_0/changes/Changes.html
Solr PMC 很高兴地宣布 Apache Solr 8.8.2 发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.8.2 可立即在以下位置下载:
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_8/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/8_8_2/changes/Changes.html
Solr 8.8.2 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_8_2/changes/Changes.html
严重性: 高
受影响的版本: 7.0.0 至 7.7.3、8.0.0 至 8.8.1
描述: ReplicationHandler(通常在Solr核心的 "/replication" 路径下注册)有一个 "masterUrl" (别名 "leaderUrl") 参数,用于指定另一个Solr核心上的另一个 ReplicationHandler,以便将索引数据复制到本地核心。为了防止 SSRF 漏洞,Solr 应该针对它用于 "shards" 参数的类似配置来检查这些参数。在修复此错误之前,它没有这样做。
缓解措施: 以下任何一种方法都足以防止此漏洞
Solr 8.8.2 或更高版本。贡献者: 由奇安信集团(QI-ANXIN Technology Group Inc.)的 Caolinhong(Skay) 报告
参考: SOLR-15217: CVE-2021-27905: 复制处理程序中的 SSRF 漏洞
严重性: 高
受影响的版本: 7.0.0 至 7.7.3、8.0.0 至 8.8.1
描述: 当使用 SaslZkACLProvider 或 VMParamsAllAndReadonlyDigestZkACLProvider 配置且没有现有的 security.json znode 时,在启动早于 8.8.2 的 Apache Solr 版本时,如果配置了可选的只读用户,则 Solr 不会将该节点视为敏感路径,并允许其可读。此外,对于任何 ZkACLProvider,如果 security.json 已经存在,Solr 将不会自动更新 ACL。
缓解措施: 以下任何一种方法都足以防止此漏洞
Solr 8.8.2 或更高版本。贡献者: Timothy Potter 和 Mike Drob,Apple Cloud Services
参考: SOLR-15249: CVE-2021-29262:Zookeeper ACL 应用错误可能导致配置的身份验证和授权设置泄露
严重性: 高
受影响的版本: 7.0.0 至 7.7.3、8.0.0 至 8.8.1
描述: 当使用 ConfigurableInternodeAuthHadoopPlugin 进行身份验证时,早于 8.8.2 的 Apache Solr 版本会使用服务器凭据而不是原始客户端凭据转发/代理分布式请求。这将导致在接收主机上进行错误的授权解析。
缓解措施: 以下任何一种方法都足以防止此漏洞
Solr 8.8.2 或更高版本。贡献者: Geza Nagy
参考: SOLR-15233: CVE-2021-29943:Apache Solr 非特权用户可能能够对集合执行未经授权的读取/写入操作
Lucene PMC 很高兴地宣布 Apache Solr 8.8.1 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.8.1 可立即从以下位置下载
https://solr.apache.org/downloads.html
修复了将服务器升级到 8.8.0 而不将 SolrJ 升级到 8.8.0 时出现的 SolrJ 向后兼容性问题。建议用户使用 8.8.1 而不是 8.8.0。
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_8/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/8_8_1/changes/Changes.html
Solr 8.8.1 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_8_1/changes/Changes.html
Apache 软件基金会董事会今天将 Solr 建立为顶级项目 (TLP)。Solr 自 2006 年孵化以来一直是 Lucene 的子项目,由 Lucene PMC 管理,并且自 3.1 版本以来也与 Lucene 共享源代码存储库。
此更改由 Lucene PMC 的成员提出,2020 年 6 月的一项投票决定 Solr 将成为一个单独的 TLP。后来,Lucene PMC 决定 Solr 项目将使用与“母”Lucene 项目相同的提交者和 PMC 成员集进行引导。
Solr 软件不会因此发生任何变化,但用户会看到以下变化
开发人员必须执行许多操作才能适应此更改
注意: 在迁移工作期间,某些事项可能会发生变化。
2021 年 1 月 29 日,Apache Solr™ 8.8 可用 Lucene PMC 很高兴地宣布 Apache Solr 8.8 的发布
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
该版本可立即在以下位置下载
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/8_8_0/changes/Changes.html
Solr 8.8.0 版本亮点
使用每个副本状态减少监督者瓶颈。使用此功能的大型集群的稳定性和更低的负载。更好的重启和集合创建性能
学习排序中的交错支持
重要更改的摘要发布在 Solr 参考指南中,网址为 https://solr.apache.org/guide/8_8/solr-upgrade-notes.html。有关最详尽的列表,请参阅完整发行说明,网址为 https://solr.apache.org/8_8_0/changes/Changes.html 或查看随发行版提供的 CHANGES.txt 文件。Solr 的发行说明通常不包括 Lucene 层面的更改。Lucene 的发行说明位于 https://lucene.apache.org/core/8_8_0/changes/Changes.html
2020 年 11 月 3 日,Apache Solr™ 8.7 可用 Lucene PMC 很高兴地宣布 Apache Solr 8.7 的发布
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
该版本可立即在以下位置下载
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/8_7_0/changes/Changes.html
Solr 8.7.0 版本亮点
SOLR-14588 -- 断路器基础设施和基于 Real JVM 的断路器
SOLR-14615 –- 基于 CPU 的断路器
SOLR-14537 -- 提高 ExportWriter 的性能
SOLR-14651 -- 可以禁用 MetricsHistoryHandler
重要更改的摘要发布在 Solr 参考指南中,网址为 https://solr.apache.org/guide/8_7/solr-upgrade-notes.html。有关最详尽的列表,请参阅完整发行说明,网址为 https://solr.apache.org/8_7_0/changes/Changes.html 或查看随发行版提供的 CHANGES.txt 文件。Solr 的发行说明通常不包括 Lucene 层面的更改。Lucene 的发行说明位于 https://lucene.apache.org/core/8_7_0/changes/Changes.html
严重性: 高
受影响的版本: 6.6.0 到 6.6.6 7.0.0 到 7.7.3 8.0.0 到 8.6.2
描述: Solr 阻止在未经身份验证/授权的情况下通过 API 上传的 ConfigSet 中配置某些被认为危险(可用于远程代码执行)的功能。通过使用 UPLOAD/CREATE 操作的组合,可以规避为防止此类功能而进行的检查。
缓解措施: 以下任何一种方法都足以防止此漏洞
configset.upload.enabled 设置为 false (请参阅文档) 来禁用 ConfigSets API 中的 UPLOAD 命令Solr 8.6.3 或更高版本。贡献者: Tomás Fernández Löbbe,András Salamon
参考: SOLR-14925: CVE-2020-13957:可以规避添加到未经身份验证的配置集上传的检查
Lucene PMC 很高兴地宣布 Apache Solr 8.6.3 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.6.3 可立即从以下位置下载
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_6/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/8_6_3/changes/Changes.html
Solr 8.6.3 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_6_3/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.6.2 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.6.2 可立即从以下位置下载
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_6/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/8_6_2/changes/Changes.html
Solr 8.6.2 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_6_2/changes/Changes.html
严重性:中等
受影响版本
Solr 8.6 之前版本存在此问题。部分风险仅限于 Windows 系统。
描述:在 SOLR-14515 (私有) 中报告,并在 SOLR-14561 (公开) 中修复,于 Solr 8.6.0 版本发布。复制处理程序 (https://solr.apache.org/guide/8_6/index-replication.html#http-api-commands-for-the-replicationhandler) 允许备份、恢复和删除备份命令。这些命令都接受一个 location 参数,该参数未进行验证,即您可以读取/写入 solr 用户可以访问的任何位置。
在 Windows 系统上,还可以使用 SMB 路径,例如 \10.0.0.99\share\folder,从而导致:
缓解措施:升级到 Solr 8.6,和/或确保只有受信任的客户端可以向 Solr 的复制处理程序发出请求。
致谢:Matei "Mal" Badanoiu
Lucene PMC 很高兴地宣布 Apache Solr 8.6.1 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.6.1 可立即下载,网址为:
https://solr.apache.org/downloads.html
有关从以前的 Solr 版本升级的信息,请参阅 Solr 参考指南中的升级说明
https://solr.apache.org/guide/8_6/solr-upgrade-notes.html
有关完整的错误修复列表,请阅读 CHANGES.txt
https://solr.apache.org/8_6_1/changes/Changes.html
Solr 8.6.1 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_6_1/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.6.0 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.6.0 可立即下载,网址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/8_6_0/changes/Changes.html
Solr 8.6.0 还包括相应 Apache Lucene 版本中的功能、优化和错误修复
https://lucene.apache.org/core/8_6_0/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.5.2 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.5.2 可立即下载,网址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取更改的完整列表
https://solr.apache.org/8_5_2/changes/Changes.html
Solr 8.5.2 还包括相应 Apache Lucene 版本中的 1 个错误修复
https://lucene.apache.org/core/8_5_2/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 7.7.3 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 7.7.3 可立即下载,网址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取完整列表和更改
https://solr.apache.org/7_7_3/changes/Changes.html
Solr 7.7.3 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/7_7_3/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.5.1 的发布
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
此版本与 Solr 的 8.5.0 版本相比没有任何更改。该版本可立即下载,网址为:
https://solr.apache.org/downloads.html
Solr 8.5.1 还包括相应 Apache Lucene 版本中的一个错误修复
https://lucene.apache.org/core/8_5_1/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.5.0 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.5.0 可立即下载,网址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取更改的完整列表
https://solr.apache.org/8_5_0/changes/Changes.html
Solr 8.5.0 还包括相应 Apache Lucene 版本中的改进和错误修复
https://lucene.apache.org/core/8_5_0/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.4.1 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.4.1 可立即下载,网址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取更改的完整列表
https://solr.apache.org/8_4_1/changes/Changes.html
Solr 8.4.1 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_4_1/changes/Changes.html
严重性: 高
供应商
Apache 软件基金会
受影响的版本:5.0.0 到 8.3.1
描述
受影响的版本容易受到通过 VelocityResponseWriter 的远程代码执行攻击。可以通过 configset 的 velocity/ 目录或作为参数提供 Velocity 模板。用户定义的 configset 可能包含可呈现的、潜在的恶意模板。默认情况下禁用参数提供的模板,但可以通过设置 params.resource.loader.enabled 并定义一个将该设置设置为 true 的响应编写器来启用。定义响应编写器需要配置 API 访问权限。
Solr 8.4 完全删除了参数资源加载器,并且仅当 configset 是 trusted 时(已由经过身份验证的用户上传)才启用 configset 提供的模板呈现。
缓解措施
确保您的网络设置已配置为只有受信任的流量才能与 Solr 通信,尤其是与配置 API 通信。
致谢
Github 用户 s00py
参考
Lucene PMC 很高兴地宣布 Apache Solr 8.4.0 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.4.0 可立即下载,网址为:
https://solr.apache.org/downloads.html
Solr 参考指南中发布了重要更改的摘要,网址为 https://solr.apache.org/guide/8_4/solr-upgrade-notes.html。
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/8_4_0/changes/Changes.html
Solr 8.4.0 还包括相应 Apache Lucene 版本中的功能、优化和错误修复
https://lucene.apache.org/core/8_4_0/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.3.1 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.3.1 可立即下载,网址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取更改的完整列表
https://solr.apache.org/8_3_1/changes/Changes.html
Solr 8.3.1 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/8_3_1/changes/Changes.html
严重性: 高
供应商
Apache 软件基金会
受影响版本
Solr 8.1.1 和 8.2.0(适用于 Linux)
描述
Apache Solr 的 8.1.1 和 8.2.0 版本在随 Solr 提供的默认 solr.in.sh 配置文件中包含 ENABLE_REMOTE_JMX_OPTS 配置选项的不安全设置。
Windows 用户不受影响。
如果您使用受影响版本中的默认 solr.in.sh 文件,则将启用 JMX 监控并在 RMI_PORT (默认值 = 18983) 上公开,而无需任何身份验证。如果此端口在防火墙中为入站流量打开,则任何有权访问您的 Solr 节点的网络的人都可以访问 JMX,这反过来可能允许他们上传恶意代码以在 Solr 服务器上执行。
该漏洞已公开 [1],并且缓解步骤已于 8 月 14 日在项目邮件列表和新闻页面 [3] 上宣布,当时没有提及 RCE。
缓解措施
确保您的有效 solr.in.sh 文件在每个 Solr 节点上将 ENABLE_REMOTE_JMX_OPTS 设置为 'false',然后重新启动 Solr。请注意,有效的 solr.in.sh 文件可能位于 /etc/defaults/ 或其他位置,具体取决于安装。然后,您可以验证 Solr 管理 UI 的“Java 属性”部分中是否未列出 'com.sun.management.jmxremote*' 属性系列,或者以安全的方式配置。
无需升级或更新任何代码。
请记住遵循 Solr 文档的建议,永远不要在充满敌意的网络环境中直接公开 Solr 节点。
致谢
Matei "Mal" Badanoiu
Solr JIRA 用户 'jnyryan' (John)
参考
[1] https://issues.apache.org/jira/browse/SOLR-13647
[3] https://solr.apache.org/news.html
Lucene PMC 很高兴地宣布 Apache Solr 8.3.0 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 8.3.0 可立即下载,地址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/8_3_0/changes/Changes.html
Solr 8.3.0 还包括相应 Apache Lucene 版本中的功能、优化和错误修复
https://lucene.apache.org/core/8_3_0/changes/Changes.html
严重性:中等
供应商
Apache 软件基金会
受影响版本
描述
5.0.0 之前的 Solr 版本容易受到 XML 资源消耗攻击(又称 Lol 炸弹)的影响,该攻击通过其更新处理程序进行。通过利用 XML DOCTYPE 和 ENTITY 类型元素,攻击者可以创建一个模式,该模式将在服务器解析 XML 时扩展,导致 OOM
缓解措施
致谢
Matei "Mal" Badanoiu
参考
Severity: Low
Versions Affected:
8.1.1 and 8.2.0 for Linux
Description:
It has been discovered [1] that the 8.1.1 and 8.2.0 releases contain a bad default
setting for the ENABLE_REMOTE_JMX_OPTS setting in the default solr.in.sh file
shipping with Solr.
Windows users and users with custom solr.in.sh files are not affected.
If you are using the default solr.in.sh file from the affected releases, then
JMX monitoring will be enabled and exposed on JMX_PORT (default = 18983),
without any authentication. So if your firewalls allows inbound traffic on
JMX_PORT, then anyone with network access to your Solr nodes will be able to
access monitoring data exposed over JMX.
Mitigation:
Edit solr.in.sh, set ENABLE_REMOTE_JMX_OPTS=false and restart Solr.
Alternatively wait for the future 8.3.0 release and upgrade.
References:
[1] https://issues.apache.org/jira/browse/SOLR-13647
严重性: 高
供应商
Apache 软件基金会
受影响版本
描述
DataImportHandler(一个可选但流行的模块,用于从数据库和其他源提取数据)具有一项功能,其中整个 DIH 配置可以来自请求的 “dataConfig” 参数。DIH 管理屏幕的调试模式使用此功能来方便调试/开发 DIH 配置。由于 DIH 配置可以包含脚本,因此此参数存在安全风险。从 Solr 的 8.2.0 版本开始,使用此参数需要将 Java 系统属性 enable.dih.dataConfigParam 设置为 true。
缓解措施
致谢
Michael Stepankin (JPMorgan Chase)
参考
Lucene PMC 很高兴地宣布 Apache Solr 8.2.0 的发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 8.2.0 可立即下载,地址为:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/8_2_0/changes/Changes.html
Solr 8.2.0 还包括许多其他新功能,以及相应 Apache Lucene 版本的众多优化和错误修复
https://lucene.apache.org/core/8_2_0/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 7.7.2 的发布。
Solr 是 Apache Lucene 项目中流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档处理和地理空间搜索。Solr 具有高度可扩展性,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 7.7.2 可立即下载,地址为:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取完整列表和更改
https://solr.apache.org/7_7_2/changes/Changes.html
Solr 7.7.2 还包括相应 Apache Lucene 版本中的错误修复
https://lucene.apache.org/core/7_7_2/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.1.1 的发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 8.1.1 可立即下载,地址为:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/8_1_1/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.1.0 的发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 8.1.0 可立即下载,地址为:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/8_1_0/changes/Changes.html
Solr 8.1.0 还包括许多其他新功能,以及相应 Apache Lucene 版本的众多优化和错误修复
https://lucene.apache.org/core/8_1_0/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 6.6.6 的发布
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.6.6 可立即下载,地址为:
http://archive.apache.org/dist/lucene/solr/6.6.6
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/6_6_6/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 8.0.0 的发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 8.0.0 可立即下载,地址为:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/8_0_0/changes/Changes.html
为了获得更高的效率,Solr 现在使用 HTTP/2 进行节点间通信。详情:Solr 正在从 Apache HttpClient 切换到 Jetty Client,以增加 HTTP/2 的支持。节点间最频繁的通信(如索引和查询)现在都通过 HTTP/2 发送。HTTP/1.1 实际上每个 TCP 连接只允许一个未完成的请求,这意味着要同时发送多个请求必须建立多个 TCP 连接。这会导致双方资源的浪费和长时间的 GC 暂停。Solr 8 通过允许使用同一个 TCP 连接并行发送多个请求,克服了这个问题。
嵌套文档(也称为子文档或块连接)得到了显著改进。大多数改进来自存储和利用索引中关于关系的更多信息,例如子文档与其父文档之间的命名关系。这些信息被 [子] 文档转换器用来以嵌套形式而不是平面形式返回子文档。未来还可以利用这些信息做更多的事情。另一个关键的改进是,嵌套文档可以以自然的方式删除或替换,而不会使子文档成为孤立文档;尽管在使用按查询删除时仍然需要小心。
作为一个主要版本,Solr 8 删除了许多已弃用的 API,更改了各种参数的默认值和行为。某些更改可能需要重新索引您的内容。因此,我们建议您仔细阅读“升级说明”,地址为:
https://solr.apache.org/8_0_0/changes/Changes.html
Solr 8.0 还包括许多其他新功能,以及相应 Apache Lucene 版本的众多优化和错误修复。
https://lucene.apache.org/core/8_0_0/changes/Changes.html
Lucene PMC 很高兴地宣布,Solr 7.7 的参考指南现已发布。这个 1,431 页的 PDF 是使用 Apache Solr(基于 Lucene 构建的搜索服务器)的权威指南。
PDF 指南可以从以下网址下载:https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/apache-solr-ref-guide-7.7.pdf。它也可以在线访问:https://solr.apache.org/guide/7_7。
严重性: 高
供应商
Apache 软件基金会
受影响版本
描述
ConfigAPI 允许通过 HTTP POST 请求配置 Solr 的 JMX 服务器。通过将其指向恶意的 RMI 服务器,攻击者可以利用 Solr 的不安全反序列化来触发 Solr 端的远程代码执行。
缓解措施
以下任何一种方法都足以防止此漏洞:
致谢
Michael Stepankin
参考
Lucene PMC 很高兴地宣布发布 Apache Solr 7.7.1。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 7.7.1 可立即从以下网址下载:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_7_1/changes/Changes.html
修复了当 URP 尝试读取返回 ByteArrayUTF8CHarSequence 的 String 字段时发生的 ClassCastException 错误(7.7.0 版本中的回归错误)。
错误修复:基于自动缩放的副本放置在开箱即用的情况下被破坏。Solr 7.6 默认启用了基于自动缩放的副本放置,但在缺少默认集群策略的情况下,自动缩放可能会将同一分片的多个副本放置在同一节点上。此外,maxShardsPerNode 和 createNodeSet 没有被遵守。由于这些原因,此问题将默认副本放置策略恢复为直到 Solr 7.5 都是默认的“旧版”分配策略。
严重性: 高
供应商
Apache 软件基金会
受影响的版本: Apache Solr 1.3 到 7.6.0 版本
描述
“shards”参数没有相应的白名单机制,因此它可以请求任何 URL。
缓解措施
升级到 Apache Solr 7.7.0 或更高版本。确保您的网络设置配置为只允许可信流量进入/离开运行 Solr 的主机。
致谢
来自 Chaitin Tech 的 dk
参考
Lucene PMC 很高兴地宣布发布 Apache Solr 7.7.0
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 7.7.0 可立即从以下网址下载:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_7_0/changes/Changes.html
Lucene PMC 很高兴地宣布发布 Apache Solr 7.6.0
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 7.6.0 可立即从以下网址下载:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_6_0/changes/Changes.html
uninvertible 选项,用于控制使用代价高昂的字段缓存还是更高效的 docValues。Lucene PMC 很高兴地宣布发布 Apache Solr 7.5.0
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 7.5.0 可立即从以下网址下载:https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_5_0/changes/Changes.html
Lucene PMC 很高兴地宣布发布 Apache Solr 6.6.5
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.6.5 可立即从以下网址下载:
http://archive.apache.org/dist/lucene/solr/6.6.5
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/6_6_5/changes/Changes.html
Lucene PMC 很高兴地宣布发布 Apache Solr 7.4.0
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 7.4.0 可立即从以下网址下载:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_4_0/changes/Changes.html
Lucene PMC 很高兴地宣布发布 Apache Solr 6.6.4
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
此版本包括自 6.6.3 版本以来的错误修复
该版本可立即在以下位置下载
https://apache.org/dyn/closer.lua/lucene/solr/6.6.4
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/6_6_4/changes/Changes.html
Lucene PMC 很高兴地宣布发布 Apache Solr 7.3.1
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
此版本包括自 7.3.0 版本以来的 9 个错误修复。一些主要的修复是
此外,此版本还包括 Apache Lucene 7.3.1,其中包括自 7.3.0 版本以来的 1 个错误修复。
该版本可立即在以下位置下载
https://apache.org/dyn/closer.lua/lucene/solr/7.3.1
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/7_3_1/changes/Changes.html
CVE-2018-1308:通过 Apache Solr 的 DIH 的 dataConfig 请求参数进行 XXE 攻击
严重性: 高
供应商
Apache 软件基金会
受影响版本
描述
此漏洞的详细信息已报告给 Apache 安全邮件列表。
此漏洞与 Solr 的 DataImportHandler 的 &dataConfig=<inlinexml> 参数中的 XML 外部实体扩展 (XXE) 有关。它可以利用文件/ftp/http 协议用作 XXE,以便从 Solr 服务器或内部网络读取任意本地文件。有关详细信息,请参见 [1]。
缓解措施
建议用户升级到 Solr 6.6.3 或 Solr 7.3.0 版本,这两个版本都解决了该漏洞。升级完成后,不需要其他步骤。这些版本禁用通过此请求参数传递的匿名 XML 文件中的外部实体。
如果用户无法升级到 Solr 6.6.3 或 Solr 7.3.0,建议在他们的 solrconfig.xml 文件中禁用数据导入处理程序,并重启 Solr 实例。 或者,如果 Solr 实例仅在本地使用,无法访问公共互联网,则该漏洞无法直接利用,因此可能不需要更新,而是应该保护反向代理或 Solr 客户端应用程序,以防止最终用户注入 dataConfig 请求参数。请参考 [2] 了解如何正确保护 Solr 服务器。
致谢
麦香浓郁
参考
[1] https://issues.apache.org/jira/browse/SOLR-11971
[2] https://cwiki.apache.org/confluence/display/solr/SolrSecurity
Lucene PMC 很高兴地宣布 Apache Solr 7.3.0 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 7.3.0 可立即从以下地址下载:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_3_0/changes/Changes.html
7.3 版本的 Apache Solr 参考指南也以 PDF 格式 或 在线 形式提供。
Lucene PMC 很高兴地宣布 Apache Solr 6.6.3 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
此版本包含三个错误修复
该版本可立即在以下位置下载
https://solr.apache.org/mirrors-solr-redir.html
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/6_6_3/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 7.2.1 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
此版本包含自 7.2.0 版本以来的 3 个错误修复
Overseer 永远无法处理某些最后的消息。
在 Solr 独立模式下重命名核心不会持久化。
QueryComponent 的 rq 参数解析不再考虑 defType 参数。
修复当过滤器子句内的查询项减少为空时 SolrQueryParser 中的 NPE。
此外,此版本还包括 Apache Lucene 7.2.1,其中包含自 7.2.0 版本以来的 1 个错误修复。
该版本可立即在以下位置下载
https://apache.org/dyn/closer.lua/lucene/solr/7.2.1
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/7_2_1/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 7.2.0 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 7.2.0 可立即从以下地址下载:
https://solr.apache.org/downloads.html
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_2_0/changes/Changes.html
Lucene PMC 很高兴地宣布 7.1 版本的 Solr 参考指南现已发布。
这份 1077 页的 PDF 是使用基于 Lucene 构建的搜索服务器 Apache Solr 的权威指南。
PDF 指南可从以下地址下载:https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/apache-solr-ref-guide-7.1.pdf。
也可在线访问:https://solr.apache.org/guide/7_1。
严重性: 重要
供应商
Apache 软件基金会
受影响版本
描述
Apache Solr 使用 Apache Tika 解析二进制文件类型,例如 doc、xls、pdf 等。Apache Tika 包装 jmatio 解析器 (https://github.com/gradusnikov/jmatio) 来处理 MATLAB 文件。该解析器对嵌入在 MATLAB 文件中的序列化 Java 对象使用本机反序列化。恶意用户可以将任意代码注入到 MATLAB 文件中,该代码将在对象反序列化时执行。
此漏洞最初描述于 http://mail-archives.apache.org/mod_mbox/tika-user/201611.mbox/%3C2125912914.1308916.1478787314903%40mail.yahoo.com%3E
缓解措施
建议用户升级到 Solr 5.5.5 或 Solr 6.6.2 或 Solr 7.1.0 版本,这些版本已修复此漏洞。
Solr 5.5.5 将 jmatio 解析器升级到 v1.2 并禁用 Java 反序列化支持以防止此漏洞。
Solr 6.6.2 和 Solr 7.1.0 已将捆绑的 Tika 升级到 v1.16。
升级完成后,无需其他步骤。
参考
Lucene PMC 很高兴地宣布 Apache Solr 5.5.5 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
此版本包含一个错误修复。
此版本包含一个关键和一个重要的安全修复。详情
修复了 0-day 漏洞 (CVE-2017-12629),详情:https://s.apache.org/FJDl。默认情况下已禁用 RunExecutableListener(可以使用 -Dsolr.enableRunExecutableListener=true 启用),并且默认情况下已禁用 XML 查询解析器(defType=xmlparser 或 {!xmlparser ... })中解析外部实体。
修复了 CVE-2017-7660:Apache Solr 中安全节点间通信的安全漏洞,详情:https://s.apache.org/APTY
此外,此版本还包括 Apache Lucene 5.5.5,其中包含自 5.5.4 版本以来的一个安全修复。
该版本可立即在以下位置下载
https://apache.org/dyn/closer.lua/lucene/solr/5.5.5
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/5_5_5/changes/Changes.html
Lucene PMC 很高兴地宣布 Apache Solr 6.6.2 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
关键安全修复:修复了 0-day 漏洞 (CVE-2017-12629),详情:https://s.apache.org/FJDl。默认情况下已禁用 RunExecutableListener(可以使用 -Dsolr.enableRunExecutableListener=true 启用),并且默认情况下已禁用 XML 查询解析器(defType=xmlparser 或 {!xmlparser ... })中解析外部实体。
修复了 Solr 尝试两次加载同一个核心的错误(错误消息:“此虚拟机持有锁”)。
该版本可立即在以下位置下载
https://apache.org/dyn/closer.lua/lucene/solr/6.6.2
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/6_6_2/changes/Changes.html
严重性
严重
供应商
Apache 软件基金会
受影响版本
描述
此漏洞的详细信息已在公共邮件列表中报告。请参阅 https://s.apache.org/FJDl
第一个漏洞与 XML 查询解析器中 XML 外部实体扩展有关,默认情况下,任何带有参数 deftype=xmlparser 的查询请求都可以使用该扩展。这可用于将恶意数据上传到 /upload 请求处理程序。它还可以用作 Blind XXE,使用 ftp 包装器从 solr 服务器读取任意本地文件。
第二个漏洞与使用所有受影响的 Solr 版本上可用的 RunExecutableListener 进行远程代码执行有关。
在上述报告时,这是一个 0-day 漏洞,存在一个影响上一节中提到的 Solr 版本的有效利用程序。但是,已宣布缓解步骤以保护 Solr 用户当天。请参阅 https://solr.apache.org/news.html#12-october-2017-please-secure-your-apache-solr-servers-since-a-zero-day-exploit-has-been-reported-on-a-public-mailing-list
缓解措施
建议用户升级到 Solr 6.6.2 或 Solr 7.1.0 版本,这两个版本都解决了这两个漏洞。升级完成后,无需其他步骤。
如果用户无法升级到 Solr 6.6.2 或 Solr 7.1.0,建议使用系统参数 -Ddisable.configEdit=true 重启 Solr 实例。这将禁止通过 Config API 对配置进行任何更改。这是此漏洞的关键因素,因为它允许 GET 请求将 RunExecutableListener 添加到您的配置中。还建议用户将 XML 查询解析器重新映射到另一个解析器以缓解 XXE 漏洞。例如,将以下内容添加到 solrconfig.xml 文件会将 xmlparser 重新映射到 edismax 解析器:<queryParser name="xmlparser" class="solr.ExtendedDismaxQParserPlugin"/>
致谢
参考
Lucene PMC 很高兴地宣布 Apache Solr 7.1.0 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
该版本可立即在以下位置下载
https://apache.org/dyn/closer.lua/lucene/solr/7.1.0
请阅读 CHANGES.txt 以获取新功能和更改的完整列表
https://solr.apache.org/7_1_0/changes/Changes.html
关键安全更新:修复了 CVE-2017-12629,这是一个在 公共邮件列表 上报告的有效 0-day 漏洞。
自动缩放:现在,当添加新节点或删除现有节点时,Solr 可以使用 7.0 中引入的自动缩放策略框架自动移动副本
自动缩放:仅限于共享文件系统的“autoAddReplicas”功能现在可用于所有文件系统。它已移植为在内部使用新的自动缩放框架。
自动缩放:新的 set-trigger、remove-trigger、set-listener、remove-listener、suspend-trigger、resume-trigger API
自动缩放:新的 /autoscaling/history API 用于显示过去的自动缩放操作和集群事件
用于 Solr 的新的基于 JSON 的 Query DSL,它扩展了 JSON Request API,以支持所有查询解析器及其嵌套参数
JSON Facet API:现在支持对单值日期字段进行最小/最大聚合
Lucene 的 Geo3D(球面和椭球面)现在通过设置 spatialContextFactory="Geo3D" 在空间 RPT 字段上得到支持。此外,这是 Solr 首次开箱即用地支持多边形。
扩展了对统计流评估器的支持,例如各种分布、秩相关性、距离等等。
多项其他优化和错误修复。
我们建议您仔细阅读 https://solr.apache.org/7_1_0/changes/Changes.html 上的“升级说明”或发行版附带的 CHANGES.txt 文件。
Solr 7.1 还包含许多其他新功能,以及相应 Apache Lucene 版本的众多优化和错误修复。
请保护您的 Solr 服务器,因为在 公共邮件列表 上报告了一个零日漏洞。此漏洞已分配了公共 CVE (CVE-2017-12629),我们将在未来关于解决方案和缓解步骤的沟通中引用它。
这是我们建议的以及我们现在正在做的
在修复程序可用之前,建议所有 Solr 用户使用系统属性 -Ddisable.configEdit=true 重新启动其 Solr 实例。这将禁止通过 Config API 对配置进行任何更改。这是此漏洞的一个关键因素,因为它允许 GET 请求将 RunExecutableListener 添加到配置中。这足以保护您免受此类攻击,但这意味着在下面描述的其他修复程序到位之前,您无法使用 Config API 的编辑功能。还建议用户将 XML Query Parser 重新映射到另一个解析器,以缓解 XXE 漏洞。例如,将以下内容添加到 solrconfig.xml 文件会将 xmlparser 映射到 edismax 解析器:<queryParser name="xmlparser" class="solr.ExtendedDismaxQParserPlugin"/>。
Lucene/Solr 的新版本正处于投票阶段,但我们现在已将其撤回,以便能够在即将发布的 7.1 版本中解决这些问题。我们还将为早期版本的用户确定缓解步骤,这可能包括为仍在使用 6.x 的用户发布 6.6.2 版本。
RunExecutableListener 将在 7.1 中删除。它以前被 Solr 用于索引复制,但已被替换,不再需要。
XML 解析器将被修复,修复程序将包含在 7.1 版本中。
7.1 版本已经计划默认禁用 stream.body 参数,这将进一步帮助保护系统。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 7.0.1 可立即从以下网址下载:https://solr.apache.org/downloads.html
此版本包含自 7.0.0 版本以来的 2 个错误修复
Solr 7.0 无法读取来自 6.x 版本的索引。
启动时出现消息“此虚拟机持有锁”。Solr 正在尝试两次启动一些核心。
此外,此版本还包括 Apache Lucene 7.0.1,其中包括自 7.0.0 版本以来的 1 个错误修复。
该版本可立即在以下位置下载
https://apache.org/dyn/closer.lua/lucene/solr/7.0.1
请阅读 CHANGES.txt 以获取更改的详细列表
https://solr.apache.org/7_0_1/changes/Changes.html
Lucene PMC 很高兴地宣布发布 Apache Solr 7.0 的参考指南。
这本 1,035 页的 PDF 是 Solr 的权威指南。此版本添加了 Solr 新功能的文档,以及有关从 Solr 6.x 升级到 Solr 7.0 时应了解的更改和弃用的详细信息。
您可以从以下网址下载 PDF:https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/apache-solr-ref-guide-7.0.pdf。
HTML 版本也可从以下网址获得:https://solr.apache.org/guide/7_0/。
Lucene PMC 很高兴地宣布发布 Apache Solr 7.0.0
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 7.0.0 可立即从以下网址下载:https://solr.apache.org/downloads.html
副本类型 - Solr 7 支持不同的副本类型,它们以不同的方式处理更新。除了所有副本都构建索引并保留复制日志的纯 NRT 操作外,您现在还可以添加所谓的 PULL 副本,从而在保持索引冗余的同时实现主/从设置的读取速度优化优势。
自动缩放。Solr 现在可以使用新的自动缩放策略框架将新副本分配给节点。此框架将在未来的版本中使 Solr 能够根据负载、磁盘等移动分片。
缩进的 JSON 现在是所有 API 的默认响应格式,传递 wt=xml 和/或 indent=off 以使用以前的未缩进 XML 格式。
JSON Facet API 现在支持两阶段分面优化,以确保在分布式模式下返回的分面桶的准确计数和统计信息。
流式表达式为 sql 查询、随机样本、时间序列和图形结果集的统计分析添加了新的统计编程语法。
Analytics 组件 2.0,现在支持分布式集合、多值字段上的表达式、新的 JSON 请求语言等。
新的 v2 API,在 /api/ 上公开并通过 SolrJ 支持,现在是首选 API,但 /solr/ 继续工作。
如果在创建集合时未指定配置,则使用新的“_default”配置集。此配置集的数据驱动功能将字符串索引为已分析的文本,同时复制到适合分面的“*_str”字段。
Solr 7 经过测试并验证支持 Java 9。
有关详细信息,请参阅发行版中包含的 Solr CHANGES.txt 文件。
CVE-2017-9803:kerberos 委托令牌功能中的安全漏洞
严重性:重要
供应商:
Apache 软件基金会
受影响版本:
Solr 6.2.0 到 6.6.0
描述:
Solr 的 Kerberos 插件可以配置为使用委托令牌,这允许应用程序重用最终用户或其他应用程序的身份验证。此功能存在两个问题(当使用 SecurityAwareZkACLProvider 类型的 ACL 提供程序(例如 SaslZkACLProvider)时),
首先,安全配置的访问权限可能会泄漏给 solr 超级用户以外的用户。其次,恶意用户可以利用此泄漏的配置进行特权升级,从而进一步暴露/修改私有数据和/或破坏 Solr 集群中的操作。
该漏洞已在 Solr 6.6.1 及更高版本中修复。
缓解措施:
6.x 用户应升级到 6.6.1
致谢:
此问题由 Cloudera Inc. 的 Hrishikesh Gadre 发现。
参考:
Lucene PMC 很高兴地宣布发布 Apache Solr 6.6.1
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.6.1 可立即从以下网址下载:https://solr.apache.org/downloads.html
此版本包含自 6.6.0 版本以来的 15 个错误修复。一些主要的修复程序是
独立 Solr 在请求时加载 UNLOADed 核心
ParallelStream 应在构造 SolrStream 时设置 StreamContext
CloudSolrStream.toExpression 错误地处理 fq 子句
CoreContainer.load 需要将延迟加载的核心描述符发送到正确的列表,而不是将它们全部发送到临时列表
创建核心应首先写入 core.properties 文件,并在失败时进行清理
清理一些从可插拔临时核心遗留的细节并解开
提供一种方法来知道核心发现何时完成以及所有异步核心何时完成加载
当重新加载核心时,CDCR 引导可能会进入无限循环
SolrJmxReporter 在核心重新加载时被破坏。这会导致一些或大多数指标在核心重新加载后无法通过 JMX 报告,具体取决于时间
如果 core.properties 的父级是符号链接目录,则创建 core.properties 失败
StreamHandler 应允许提前关闭连接
启用 kerberos 后,某些管理 UI 页面无法正确加载
修复 ZooKeeper 中 DOWNNODE -> queue-work znode 爆炸
升级到 Hadoop 2.7.4 以修复与 Java 9 的不兼容问题
修复 bin/solr.cmd,使其可以在 Java 9 上正常运行
此外,此版本还包括 Apache Lucene 6.6.1,其中包括自 6.6.0 版本以来的 2 个错误修复。
有关详细信息,请参阅发行版中包含的 Solr CHANGES.txt 文件。
CVE-2017-7660:Apache Solr 中安全节点间通信中的安全漏洞
严重性:重要
供应商:
Apache 软件基金会
受影响版本:
描述
Solr 使用基于 PKI 的机制来保护启用安全时的节点间通信。可以创建一个特殊构造的节点名称,该名称不作为集群的一部分存在,并将其指向恶意节点。这可能会欺骗集群中的节点,使其认为恶意节点是集群的成员。因此,如果 Solr 用户使用 BasicAuthPlugin 启用了 BasicAuth 身份验证机制,或者用户实现了自定义身份验证插件,该插件没有实现“HttpClientInterceptorPlugin”或“HttpClientBuilderPlugin”,则他/她的服务器容易受到此攻击。仅使用 SSL 而不使用基本身份验证或使用 Kerberos 的用户不受影响。
缓解措施:
致谢:
此问题由 Lucidworks Inc. 的 Noble Paul 发现。
参考:
Lucene PMC 很高兴地宣布发布 Apache Solr 6.6.0
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.6.0 可立即从以下网址下载:https://solr.apache.org/downloads.html
支持具有 payload() 值源和 {!payload_score} 和 {!payload_check} 查询解析器的有效负载
Solr 支持 SimpleTextCodec
请求术语统计信息时,TermsComponent 的多字段支持
新的 AtomicUpdateProcessor,用于将正常更新操作转换为原子更新操作
用于上传压缩配置集的 UPLOAD 命令(配置集 API)
用于在节点之间移动副本的 MOVEREPLICA 命令(集合 API)
用于返回所有集合别名列表的 LISTALIASES 命令(集合 API)
用于发出每个核心的集合详细信息的 STATUS 命令(核心管理 API)
可以使用 bin/solr|bin/solr.cmd 启用/禁用基本身份验证
Solr 默认/示例使用 WordDelimiterGraphFilterFactory 和 SynonymGraphFilterFactory
使用指标 API 公开缓存统计信息
CloudSolrClient 现在可以使用 Solr 实例的基本 URL 而不是 ZooKeeper 主机进行初始化
支持 PointFields 的分组、CollapseQParser 和 ExpandComponent
JSON Facet API 的方差和标准差聚合器
JSON 分面现在支持查询时间“连接”域更改选项
CartesianProductStream,它将具有多值字段的单个元组转换为 N 个元组,每个元组对应多值字段中的一个值
新的流式评估器:基本数学、UUID、日期/时间、相关性、回归、预测、协方差、卷积、规范化
新的流式表达式:shuffle、echo、eval、timeseries、let、get、tuple
有关详细信息的完整列表,请参阅发行版本中包含的Solr CHANGES.txt文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.5.1 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.5.1 可在此处立即下载:https://solr.apache.org/downloads.html
此版本包括自 6.5.0 版本以来的 11 个错误修复。一些主要的修复包括:
bin\solr.cmd delete 和 healthcheck 现在可以再次工作;修复了延续字符 ^
修复了 solr/contrib/ltr OriginalScoreFeature 类中与调试相关的 NullPointerException。
/admin/metrics 的 JSON 输出已修复,以将容器写入为映射 (SimpleOrderedMap) 而不是数组 (NamedList)。
在 'downnode' 上,对 ZK 进行了大量浪费的更改。
修复了 solr/contrib/ltr (MinMax|Standard)Normalizer 类的参数持久性。
如果值包含查询语法字符(如 :+-),则 fetch() 流式表达式将无法工作。已修复,并增强了生成的查询,以避免污染查询缓存。
通过模式配置 <fieldtype ... enableGraphQueries="false"> 禁用图形查询的生成。这修复了当请求参数 sow=false 时,包含 ShingleFilter 的查询时分析器的损坏查询。
修复了数值 PointFields 上的 indexed="false"
SQL AVG 函数错误地解释了字段类型。
SQL 接口不使用客户端缓存。
当任何字段被提升时,sow=false 的 edismax 无法创建 dismax-per-term 查询。
此外,此版本还包括 Apache Lucene 6.5.1,其中包含自 6.5.0 版本以来的 3 个错误修复。
有关详细信息的完整列表,请参阅发行版本中包含的Solr CHANGES.txt文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.5.0 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.5.0 可在此处立即下载:https://solr.apache.org/downloads.html
现在支持 PointFields(固定宽度多维数值和二进制类型,可实现快速范围搜索)
支持使用原子更新语法对数值 docValues 字段(单值、非存储、非索引)进行原地更新
一个新的 LatLonPointSpatialField,它使用点或 doc 值进行查询
现在可以声明一个字段为“large”以便绕过文档缓存
edismax 和标准查询解析器的新 sow=false 请求参数(split-on-whitespace)启用查询时的多词同义词
XML 查询解析器 (defType=xmlparser) 现在支持 span 查询
hl.maxAnalyzedChars 现在在不同的高亮器中具有一致的默认值
UnifiedSolrHighlighter 和 PostingsSolrHighlighter 现在支持 CustomSeparatorBreakIterator
评分公式针对 scoreNodes 函数进行了调整
Calcite Planner 现在应用常量归约规则来优化计划
一个新的 significantTerms 流式表达式,它能够提取索引中的重要术语
StreamHandler 现在能够使用 runtimeLib jar
算术运算已添加到 SelectStream
添加了现代化的自记录 /v2 API
如果 .system 集合不存在,则会在首次请求时创建它
Admin UI:添加了分片删除按钮
Metrics API 现在支持非数值指标(版本、磁盘类型、组件状态、系统属性...)
现在报告磁盘空闲和聚合磁盘空闲指标
DirectUpdateHandler2 现在实现了 MetricsProducer,并通过指标 API 和配置的报告器公开统计信息。
BlockCache 更快,因为在缓存新块时减少了故障
MMapDirectoryFactory 现在支持“preload”选项,以请求将映射的页面在初始化时加载到物理内存中
安全性:BasicAuthPlugin 现在支持独立模式
可以将任意 java 系统属性传递给 zkcli
可以通过 java 系统属性配置 SolrHttpClientBuilder
Javadocs 和 Changes.html 不再包含在二进制发行版中,而是在线托管
有关详细信息的完整列表,请参阅发行版本中包含的Solr CHANGES.txt文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.4.2 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.4.2 可在此处立即下载:https://solr.apache.org/downloads.html
已修复:由于指标收集,Solr 6.4 中出现严重的性能下降。IndexWriter 指标收集默认关闭,目录级指标收集已完全删除(直到找到更好的设计)
已修复:由于新的指标代码,事务日志重放可能会出现 NullPointerException
已修复:读取过时的别名时 CloudSolrClient 中的 NullPointerException
已修复:UnifiedHighlighter 和 PostingsHighlighter 在多字节文本的 PrefixQuery 和 TermRangeQuery 中的错误
有关详细信息的完整列表,请参阅发行版本中包含的Solr CHANGES.txt文件。
Lucene PMC 很高兴地宣布 Solr 6.4 的 Solr 参考指南已发布。
这本 763 页的 PDF 是使用 Apache Solr 的权威指南。可以从以下位置下载:
https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/apache-solr-ref-guide-6.4.pdf
Lucene PMC 很高兴地宣布 Apache Solr 5.5.4 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 5.5.4 可在此处立即下载:https://solr.apache.org/downloads.html
ReplicationHandler 中对文件名参数的更好验证
将 commons-fileupload 升级到 1.3.2,修复了潜在的漏洞 CVE-2016-3092
有关详细信息的完整列表,请参阅发行版本中包含的Solr CHANGES.txt文件。
CVE-2017-3163:Apache Solr ReplicationHandler 路径遍历攻击
严重性: 中等
供应商
Apache 软件基金会
受影响版本
Solr 1.4 到 6.4.0
描述
使用索引复制功能时,Solr 节点可以使用接受文件名的 HTTP API 从主/领导节点拉取索引文件。但是,Solr 没有验证文件名,因此可以构造一个涉及路径遍历的特殊请求,使任何文件对 Solr 服务器进程都是可读的。受防火墙规则和/或身份验证保护和限制的 Solr 服务器不会有风险,因为只有受信任的客户端和用户才能获得直接 HTTP 访问权限。
缓解措施
致谢
此问题由 Cloudera Inc. 的 Hrishikesh Gadre 发现。
参考
Lucene PMC 很高兴地宣布 Apache Solr 6.4.1 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.4.1 可在此处立即下载:https://solr.apache.org/downloads.html
UI 的“插件/统计信息”部分不显示空的指标类型
SOLR_SSL_OPTS 在 solr.cmd 中被错误地覆盖
ReplicationHandler 中对文件名参数的更好验证
核心交换在新的指标更改到位后无法工作
由于指标更改,Admin UI 无法找到 DataImport 处理程序
AnalyzingInfixSuggester/BlendedInfixSuggester 现在可以与核心重新加载一起使用
有关详细信息的完整列表,请参阅发行版本中包含的Solr CHANGES.txt文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.4.0 的发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.4.0 可在此处立即下载:https://solr.apache.org/downloads.html
流式处理
向流式 API 和流式表达式添加了 HavingStream
添加了优先级流式表达式
流式表达式现在支持集合别名
机器学习
分面
向分面域过滤器规范添加了“param”查询类型,以通过查询参数获取过滤器
可以使用新参数过滤器过滤任何分面命令。示例:{ type:terms, field:category, filter:"user:yonik" }
脚本/命令行
用于管理快照功能的新命令行工具
bin/solr 和 bin/solr.cmd 现在使用 mkroot 命令
SolrCloud / SolrJ
LukeResponse 现在支持动态字段
Solrj 客户端现在支持分层集群和其他主题标记
集合备份/还原是可扩展的。
安全
支持 Solr 身份验证的安全模拟/代理用户
可以在 solr.in.sh 文件中为 SSL 指定密钥存储类型
新的通用身份验证插件:“HadoopAuthPlugin”和“ConfigurableInternodeAuthHadoopPlugin”,它们将所有功能委托给 Hadoop 身份验证框架
查询/查询解析器/突出显示
一个新的高亮器:统一高亮器。通过 hl.method=unified 尝试;支持许多常用的高亮参数/功能。它是性能最高的高亮器,特别是对于大型文档。突出显示短语查询和特殊查询与原始高亮器(也称为默认/标准高亮器)一样受到支持。请使用此新高亮器并报告问题,因为它将来很可能会成为默认高亮器。
当提供 ReversedWildcardFilterFactory 时,现在接受并优化复杂短语查询解析器中的前导通配符
指标
使用 metrics-jvm 库来检测 jvm 内部组件,例如 GC、内存使用率等。
已向集合添加了许多指标:索引合并、索引存储 I/O、查询、更新、核心管理、核心加载线程池、分片复制、tlog 重放和副本
一个新的 /admin/metrics API,用于通过 API 返回 Solr 收集的所有指标。
其他更改
新的配置参数“maxRamMB”现在可以限制 FastLRUCache 消耗的内存
一个新的文档处理器“SkipExistingDocumentsProcessor”,它跳过重复插入并忽略对丢失文档的更新
通过 mbeans 处理程序获取或通过 UI 查看的 FieldCache 信息现在显示使用的总大小。
新的配置标志“enable”允许启用/禁用任何缓存
请注意,此版本无法使用 Java 8 update 121 从源代码构建,请使用早期版本!这是由该更新随附的 Javadocs 工具中引入的错误引起的。此 Lucene 版本的解决方法为时已晚。当然,您可以使用二进制工件。
有关详细信息的完整列表,请参阅发行版本中包含的 Solr CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Solr 6.3 的 Solr 参考指南已发布。
这本 736 页的 PDF 是使用 Apache Solr 的权威指南。可以从以下位置下载:
https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/apache-solr-ref-guide-6.3.pdf
Lucene PMC 很高兴地宣布 Apache Solr 6.3.0 已发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.3.0 可立即从以下位置下载:https://solr.apache.org/downloads.html
DocValues、流式传输、/export、机器学习
在 Solr 中优化、存储和部署 AI 模型
能够添加自定义流式表达式
添加了新的流式表达式,例如“fetch”、“executor”和“commit”。
并行 SQL 接受 <、>、= 等符号。
支持使用 scoreNodes 表达式进行分面评分
通过使用正确的叶子阅读器而不是请求全局视图,加快了将 docValues 作为存储值检索的速度。在极端情况下,这可以带来 100 倍的速度提升。
分面
facet.method=enum 可以通过 facet.exists=true 绕过精确计数计算,它只对结果文档集中存在的术语返回 1
向 JSON Facet API 添加 “overrequest” 参数,以控制分布式术语分面上的过度请求量
日志记录
现在可以通过环境变量 SOLR_LOG_LEVEL 设置 Solr 的日志级别
GC 日志由 JVM 轮转为最多 9 个文件,并通过 bin/solr 脚本备份
通过将大量日志记录移至 DEBUG 级别,大大减少了 Solr 在 INFO 级别的日志详细程度
solr-8983-console.log 文件现在只记录 STDOUT 和 STDERR 输出,而不是像以前那样记录所有 log4j 日志
Solr 的主日志文件 solr.log 现在写入 SOLR_LOGS_DIR,而无需更改 log4j.properties
启动脚本
在杀死 Solr 之前允许 180 秒进行关闭(可配置,旧限制为 5 秒)(仅限 Unix)
如果使用错误的 Java 版本,启动脚本现在会以信息性消息退出
修复了在 Windows 上损坏的 “bin/solr.cmd zk upconfig” 命令
现在可以使用 '-v' 选项简单地请求 DEBUG 日志记录,使用 '-q' 选项请求 WARN 日志记录
SolrCloud
DELETEREPLICA API 可以接受一个 'count' 参数,如果未提供分片名称,则从每个分片中删除 “count” 个副本
config API 内联显示请求处理程序的展开的 useParams
能够在集合级别创建/删除/列出快照
修改集合 API 现在会等待修改后的属性出现在集群状态中,然后返回
许多与 SolrCloud 数据安全性和更快恢复时间相关的错误修复。
安全
SolrJ 现在支持 Kerberos 委托令牌
池化的 SSL 连接未被重复使用。现在已修复。
修复了 blockUnknown 属性,该属性使节点间通信变得不可能
在 Windows bin/solr.cmd 脚本中支持 SOLR_AUTHENTICATION_OPTS 和 SOLR_AUTHENTICATION_CLIENT_CONFIGURER
新参数 -u
其他更改
优化了索引 JSON 以及 Solr 云节点之间复制时降低内存分配。
添加了一个新的 Excel 工作簿 (.xlsx) 响应写入器。在查询请求上使用“wt=xlsx”请求参数启用。
有关详细信息的完整列表,请参阅发行版本中包含的 Solr CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.2.1 已发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
此版本包含自 6.2.0 版本以来的 11 个错误修复。一些主要的修复是
SOLR-9490:当涉及 javabin(通过 solrj 或节点内通信)时,BoolField 对于非 DV 字段始终返回 false
SOLR-9188:BlockUnknown 属性使节点间通信变得不可能
SOLR-9389:HDFS 事务日志保持打开以进行写入,这会泄漏 Xceiver
SOLR-9438:分片拆分可能会在关闭时未能写入提交数据,从而导致数据丢失
此外,此版本还包括 Apache Lucene 6.2.1,其中包括自 6.2.0 版本以来的 3 个错误修复。
该版本可立即从以下位置下载:https://apache.org/dyn/closer.lua/lucene/solr/6.2.1
有关更改的详细列表,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Solr 6.2 的 Solr 参考指南已发布。
这本 717 页的 PDF 是使用 Apache Solr 的权威指南。可以从以下位置下载:
https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/apache-solr-ref-guide-6.2.pdf
Lucene PMC 很高兴地宣布 Apache Solr 5.5.3 已发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
此版本包含自 5.5.2 版本以来的 5 个错误修复。
此版本特别包含 2 个关键修复:* 索引期间 CLOSE_WAIT 状态的 TCP 连接数不会激增,* 由于 IndexFingerPrint 不匹配,PeerSync 不再在节点重启时失败。
该版本可立即从以下位置下载:https://apache.org/dyn/closer.lua/lucene/solr/5.5.3
有关更改的详细列表,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.2.0 已发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.2.0 可立即从以下位置下载:https://solr.apache.org/downloads.html
Solr 6.2 版本亮点
DocValues、流式传输、/export、机器学习
DocValues 现在可以与 BoolFields 一起使用
向 /export 处理程序添加了日期和布尔值支持
添加“scoreNodes”流式图形表达式
支持使用“topic”表达式进行并行 ETL
通过新的流式表达式:“features”和“train”进行文本的特征选择和逻辑回归
bin/solr 脚本
向 bin/solr 脚本添加基本身份验证支持
现在支持与 Zookeeper 之间的文件操作
SolrCloud
副本放置规则中的新标签“role”,例如 rule=role:!overseer 将新副本保留在 overseer 节点之外
CDCR:当 tlog 不足时,回退到全索引复制
新的 REPLACENODE 命令用于停用现有节点并将其替换为另一个新节点
新的 DELETENODE 命令用于删除节点上的所有副本
安全
添加 Kerberos 委托令牌支持
支持 Kerberos 身份验证的安全模拟/代理用户
其他更改
在新的 Admin UI 中修复了大量回归
新的布尔比较函数查询,比较数值参数:gt、gte、lt、lte、eq
将 Extraction 模块升级到 Apache Tika 1.13。
更新到 Hadoop 2.7.2
有关更改的详细列表,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 5.5.2 已发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
此版本包含自 5.5.1 版本以来的 38 个错误修复、文档更新等。
该版本可立即从以下位置下载:https://apache.org/dyn/closer.lua/lucene/solr/5.5.2
有关更改的详细列表,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.1.0 已发布。
Solr 是来自 Apache Lucene 项目的流行、极速、开源的 NoSQL 搜索平台。它的主要功能包括强大的全文搜索、命中突出显示、分面搜索和分析、丰富的文档解析、地理空间搜索、广泛的 REST API 以及并行 SQL。Solr 是企业级的、安全的和高度可扩展的,提供容错分布式搜索和索引,并为世界上许多最大的互联网网站的搜索和导航功能提供支持。
Solr 6.1.0 可立即从以下位置下载:https://solr.apache.org/downloads.html
Solr 6.1 版本亮点
添加了图形遍历支持,以及新的“sort”和“random”流式表达式。现在也可以使用 Solr Admin UI 创建流式表达式。
修复了 ENUM 分面方法不必要地重写为 FCS 的问题,这会导致速度变慢。
减少了创建缓存条目时产生的垃圾。
新的 [subquery] 文档转换器,用于获取每个结果文档的相关文档。
即使没有回调的纯文档列表,EmbeddedSolrServer 也能更明智地分配堆。
新的 GeoJSON 响应写入器,用于在查询响应中编码地理数据。
有关更改的详细列表,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 6.0.1 已发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
此版本包含自 6.0.0 版本以来的 31 个错误修复、文档更新等。
该版本可立即从以下位置下载:https://apache.org/dyn/closer.lua/lucene/solr/6.0.1
有关更改的详细列表,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 5.5.1 已发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.5.1 可立即从以下位置下载:https://apache.org/dyn/closer.lua/lucene/solr/5.5.1
此版本包含 Solr 以及 Lucene 的许多错误修复。
有关详细信息的完整列表,请参阅发行版本中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Solr 6.0 的 Solr 参考指南已发布。
本指南已针对 Solr 6.0 进行了全面更新,新增了关于并行 SQL 和跨数据中心复制的部分。
可从以下链接下载 660 页的 PDF 文档:https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/apache-solr-ref-guide-6.0.pdf。
Lucene PMC 很高兴地宣布 Apache Solr 6.0.0 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 6.0.0 可立即从以下链接下载:https://solr.apache.org/downloads.html
请参阅 CHANGES.txt
Solr 6.0 发布亮点
改进了 Solr 中使用的“相似度”默认值,以便为新用户提供更好的默认体验。
改进了升级用户的“相似度”默认值:DefaultSimilarityFactory 已被移除,隐式默认相似度已更改为 SchemaSimilarityFactory,并且 SchemaSimilarityFactory 已被修改为对未显式声明相似度的字段类型使用 BM25Similarity 作为默认值。
用于 schema 的已弃用的 GET 方法现在可通过批量 API 访问。输出的详细信息较少,并且不向后兼容。
用户应设置 useDocValuesAsStored="false",以保留具有 stored="true" 和 docValues="true" 的多值字段的排序顺序。
格式化的日期时间与 ISO-8601 更加一致。BC 日期现在得到了更好的支持,因为它们现在使用前导“-”格式化。9999 年之后的 AD 年份带有前导“+”。解析异常已得到改进。
已弃用的 SolrServer 及其子类已被移除,请改用 SolrClient。
已弃用的
SolrClient.shutdown() 已被移除,请改用 SolrClient.close()。
solr.xml 的 solrcloud 部分中已弃用的 zkCredientialsProvider 元素现已移除。请改用正确的拼写 (zkCredentialsProvider)。
添加了对跨 SolrCloud 集合执行并行 SQL 查询的支持。包括 StreamExpression 支持和一个用于 SQL 接口的新 JDBC 驱动程序。
为流式 API 添加了新功能。
为 SQL 接口添加了对 SELECT DISTINCT 查询的支持。
新的 GraphQuery 以启用图形遍历作为查询运算符。
新增了对跨数据中心复制的支持,包括在不同数据中心托管的单独 SolrCloud 的主动/被动复制。
为实时获取添加了过滤器支持。
为并行 SQL 接口添加了列别名支持。
添加了新命令以在 zookeeper 中在非安全模式/安全模式之间切换。
现在可以在副本放置规则中使用 IP 片段。
Lucene PMC 很高兴地宣布 Apache Solr 5.5.0 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.5.0 可立即从以下链接下载:https://solr.apache.org/downloads.html
有关完整详细信息,请参阅发行版中包含的 CHANGES.txt 文件。
这预计是 Solr 6.0 之前的最后一个 5.x 功能版本。
发布亮点
schema 版本已增加到 1.6,并且 Solr 现在返回未存储的 doc values 字段以及存储的字段。
PERSIST CoreAdmin 操作已被移除。
mergePolicy 元素已弃用,取而代之的是 solrconfig.xml 中类似的 mergePolicyFactory 元素。
CheckIndex 现在可以在 HdfsDirectory 上工作。
RuleBasedAuthorizationPlugin 现在允许角色中使用通配符,并接受“all”权限。
用户现在可以在 SchemaCodecFactory 中选择压缩模式。
Solr 现在支持 Lucene 的 XMLQueryParser。
Collections API 现在具有异步支持。
重新启用了未倒排的字段分面,以便在很少更改的索引上获得更高的性能。
还提供了 Solr 5.5 的 Solr 参考指南。此 PDF 文件是 Solr 5.5 的权威用户手册。可从 Apache 镜像网络下载:https://s.apache.org/Solr-Ref-Guide-PDF
自 2016 年 1 月 23 日起,Lucene/Solr 源代码托管在 Apache 的 GIT 存储库中。这意味着旧的 SVN 存储库现在已过时,不应再使用。有关使用 git 的信息,请参阅Solr 网站和 wiki。
GitHub 镜像与之前的位置保持不变,但内容已更改。我们现在有一个统一的存储库,保留了 Lucene 和 Solr 的完整历史记录。如果您有 GitHub 分支,您会发现它已更改其“forked from”位置,并且任何 Pull Request 将发送到该其他分支而不是 Lucene 开发人员。唯一已知的解决方案是删除您现有的分支并从 GitHub 重新 fork。
如果您对我们的旧 GitHub 镜像有活跃的代码更改和 Pull Request,请参阅 wiki,以获得有关如何进行的一些建议。
PMC 很高兴回答您可能对这项更改提出的任何问题。
Lucene PMC 很高兴地宣布 Apache Solr 5.3.2 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.3.2 可立即从以下链接下载:https://apache.org/dyn/closer.lua/lucene/solr/5.3.2
此版本包含 Solr 以及 Lucene 的许多错误修复。
有关完整详细信息,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 5.4.1 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.4.1 可立即从以下链接下载:https://solr.apache.org/downloads.html
此版本特别包含一个用于修复分面错误的修复程序,该错误可能导致分面计数包括已删除的文档,以及一个修复版本 5.4.0 中引入的损坏错误的修复程序。如果您使用的是 5.4.0 并使用 BINARY、SORTED_NUMERIC 或 SORTED_SET doc values,强烈建议升级到 5.4.1。
有关完整详细信息,请参阅发行版中包含的 CHANGES.txt 文件。
紧随 Solr 5.4.0 版本(见下文)之后,Lucene PMC 很高兴地宣布发布 Solr 5.4 的 Apache Solr 参考指南。
可以从 https://apache.org/dyn/closer.cgi/lucene/solr/ref-guide/ 下载此 598 页的 PDF 文件。
Lucene PMC 很高兴地宣布 Apache Solr 5.4.0 发布。
可从以下链接下载此版本:https://solr.apache.org/downloads.html
Lucene PMC 很高兴地宣布 Apache Solr 5.3.1 发布。
可从以下链接下载此版本:https://solr.apache.org/downloads.html
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.3.0 可立即从以下链接下载:https://solr.apache.org/downloads.html
Solr 5.3 发布亮点
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件。
请将任何反馈报告给邮件列表
Lucene PMC 很高兴地宣布 Apache Solr 5.2.1 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
此版本包含自 5.2.0 版本以来的各种错误修复和优化。该版本可立即从以下位置下载: https://solr.apache.org/downloads.html
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件。
Solr 5.2.1 包括 8 个错误修复和 2 个其他更改。
发布亮点
有关更改的完整列表和更多详细信息,请参阅发行版中包含的 CHANGES.txt 文件。
请将任何反馈报告给邮件列表
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.2.0 可立即从以下位置下载: https://solr.apache.org/downloads.html
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件。
Solr 5.2.0 版本亮点
还原 API 允许从索引备份还原核心。
JSON Facet API
一个新的 "facet.range.method" 参数,允许用户在基于筛选器的实现(以前的算法,使用 "facet.range.method=filter")或 DocValues("facet.range.method=dv")之间选择如何执行范围分面。
在集合、分片和副本创建期间基于规则的副本分配。
统计组件
Solr 安全性
Solr 流式表达式请参阅 https://cwiki.apache.org/confluence/display/solr/Streaming+Expressions
bin/post(以及 -Dauto=yes 模式下的 SimplePostTool)现在发送而不是跳过没有已知内容类型的文件,作为 "application/octet-stream",前提是它仍在允许的文件类型设置中。
HDFS 事务日志复制因子现在是可配置的。
现在可以使用 zkcli 脚本添加/编辑/删除集群范围的属性,而无需运行 Solr 实例。
新的空间 RptWithGeometrySpatialField,基于 CompositeSpatialStrategy,它将 RPT 索引的速度与序列化几何图形的精度相结合。包括一个基于 Lucene 段的内存形状缓存。
使用 AngularJS 重构的管理员 UI。它不是默认设置,而是此版本中的并行 UI 界面。
Solr 在内部已升级为使用 Jetty 9。
Solr 5.2.0 还包括许多其他新功能以及相应的 Apache Lucene 版本的众多优化和错误修复。
Solr 5.2 的 Solr 参考指南也可用。此 591 页的 PDF 用作 Solr 5.2 的权威用户手册。它可以从 Apache 镜像网络下载:https://s.apache.org/Solr-Ref-Guide-PDF
Lucene PMC 很高兴地宣布 Solr 5.1 的 Apache Solr 参考指南的可用性。
此 578 页的 PDF 用作 Solr 的权威用户手册。对于此版本,我们更新了本指南以包含几个新功能和更改,并对 PDF 进行了少量改版,使其更易于阅读。
该指南可以从 https://apache.org/dyn/closer.lua/lucene/solr/ref-guide/apache-solr-ref-guide-5.1.pdf 下载。
Lucene PMC 很高兴地宣布 Apache Solr 5.1.0 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.1.0 可立即从以下位置下载: https://apache.org/dyn/closer.lua/lucene/solr/5.1.0
Solr 5.1.0 包括来自 60 多位独特贡献者的 39 个新功能、40 个错误修复和 36 个优化/其他更改。
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件。
Lucene PMC 很高兴地宣布 Apache Solr 4.10.4 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.10.4 可立即从以下位置下载:https://apache.org/dyn/closer.lua/lucene/solr/4.10.4
Solr 4.10.4 包括 24 个错误修复以及 Lucene 4.10.4 及其 13 个错误修复。
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 5.0 可立即从以下位置下载: https://solr.apache.org/downloads.html
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件。
Solr 5.0 版本亮点
可用性改进,包括改进的 bin 脚本以及新的和重组的示例。
支持在 Linux 上将 Solr 安装并作为服务运行的脚本。
现在支持分布式 IDF,可以通过配置启用。目前,对于相同的支持,有四种受支持的实现
Solr 将不再附带 war 文件,而是成为可下载的应用程序。
SolrJ 现在对 Collections API 具有一流的支持。
隐式注册复制、获取和管理处理程序。
配置 API,支持 paramset 以轻松配置 solr 参数和配置字段。此 API 还支持管理预先存在的请求处理程序以及通过叠加编辑通用 solrconfig.xml。
用于管理 blob 的 API 允许上传请求处理程序 jar 并通过配置 API 注册它们。
BALANCESHARDUNIQUE Collection API,允许均匀分布自定义副本属性。
现在可以选择不打乱集合创建期间提供的 nodeSet。
通过复制处理程序配置带宽使用情况的选项,以防止其耗尽所有带宽。
将 clusterstate 拆分为每个集合可在 SolrCloud 中实现可扩展性改进。这也是将要创建的新集合的默认格式。
timeAllowed 现在用于在查询扩展和 SolrClient 请求重试期间过早终止请求。
pivot.facet 结果现在可以包括受这些透视约束的嵌套 stats.field 结果。
stats.field 可用于生成任意数字函数结果的统计信息。它还允许使用标记请求透视 facet 的统计信息。
添加了一个新的 DateRangeField,用于索引日期范围,尤其是多值日期范围。
以前需要 units=degrees 的空间字段现在采用 distanceUnits=degrees/千米/英里。
MoreLikeThis 查询解析器允许请求与现有文档相似的文档,并且也可以在 SolrCloud 模式下工作。
日志记录改进
Solr 5.0 还包括许多其他新功能以及相应的 Apache Lucene 版本的众多优化和错误修复。
Solr 5.0 的 Solr 参考指南也可用。此 535 页的 PDF 用作 Solr 5.0 的权威用户手册。它可以从 Apache 镜像网络下载:https://s.apache.org/Solr-Ref-Guide-PDF
Lucene PMC 很高兴地宣布 Apache Solr 4.10.3 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.10.3 可立即从以下位置下载: https://solr.apache.org/downloads.html
Solr 4.10.3 包括 21 个错误修复、5 个其他更改以及 Lucene 4.10.3 及其 12 个错误修复。
此版本修复了自 Solr 4.0 Alpha 版本以来影响 Solr 的以下安全漏洞。
CVE-2014-3628:Solr 管理 UI 中的存储 XSS 漏洞。
信息泄露:Solr 管理 UI 插件/统计信息页面不会转义数据值,这允许攻击者通过执行将通过 'fieldvaluecache' 对象存储和显示的查询来执行 javascript。
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件,并祝大家节日快乐!
Lucene PMC 很高兴地宣布 Apache Solr 4.10.2 的发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.10.2 可立即从以下位置下载:https://solr.apache.org/downloads.html
Solr 4.10.2 包括 10 个错误修复以及 Lucene 4.10.2 及其 2 个错误修复。
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表,万圣节快乐!
Lucene PMC 很高兴地宣布 Apache Solr 4.10.1 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.10.1 可立即从以下地址下载:https://solr.apache.org/downloads.html
Solr 4.10.1 包括 6 个错误修复,以及 Lucene 4.10.1 及其 7 个错误修复。
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Lucene PMC 很高兴地宣布 Apache Solr 4.9.1 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.9.1 可立即从以下地址下载:https://solr.apache.org/downloads.html
Solr 4.9.1 包括 2 个错误修复,以及 Lucene 4.9.1 及其 7 个错误修复。
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Lucene PMC 很高兴地宣布发布了 Solr 4.10 的新版本 Solr 参考指南。
这个 511 页的 PDF 文件是 Solr 4.10 的权威用户手册。可以从 Apache 镜像网络下载:https://apache.org/dyn/closer.lua/lucene/solr/ref-guide/。
Lucene PMC 很高兴地宣布 Apache Solr 4.10.0 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.10.0 可立即从以下地址下载:https://solr.apache.org/downloads.html
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Solr 4.10.0 版本亮点
此版本升级了 Solr Cell (contrib/extraction) 对 Apache POI 的依赖,以缓解 2 个安全漏洞。
用于启动、停止和运行 Solr 示例的脚本
对 facet.pivot 的分布式查询支持
Doc Values 字段的区间分面
新的 "terms" QParser 用于通过值列表有效地过滤文档
Apache Solr 版本 4.8.0、4.8.1、4.9.0 在其二进制发布 tarball 中捆绑了 Apache POI 3.10-beta2。此版本(以及所有之前的版本)的 Apache POI 都存在以下问题
信息泄露: Apache POI 使用 Java 的 XML 组件来解析 Microsoft Office 产品(DOCX、XLSX、PPTX 等)生成的 OpenXML 文件。接受最终用户此类文件的应用程序容易受到 XML 外部实体 (XXE) 攻击,这允许远程攻击者绕过安全限制,并通过精心设计的 OpenXML 文档读取任意文件,该文档提供了 XML 外部实体声明以及实体引用。
拒绝服务: Apache POI 使用 Java 的 XML 组件和 Apache Xmlbeans 来解析 Microsoft Office 产品(DOCX、XLSX、PPTX 等)生成的 OpenXML 文件。接受最终用户此类文件的应用程序容易受到 XML 实体扩展 (XEE) 攻击(“XML 炸弹”),这允许远程黑客消耗大量 CPU 资源。
Apache POI PMC 今天发布了一个错误修复版本 (3.10.1)。
如果 Solr 用户启用发布 tarball 的 "contrib/extraction" 文件夹中的 "Apache Solr 内容提取库 (Solr Cell)" contrib 模块,则会受到这些问题的影响。
强烈建议 Apache Solr 用户,如果他们不使用该模块,请保持禁用状态。或者,Apache Solr 4.8.0、4.8.1 或 4.9.0 的用户可以通过替换分发文件夹中的易受攻击的 JAR 文件来更新受影响的库。早期版本的用户必须先更新其 Solr 版本,旧版本无法修补。
下载 Apache POI 3.10.1 二进制发行版。
解压缩存档。
删除您的 "solr-4.X.X/contrib/extraction/lib" 文件夹中的以下文件
将 Apache POI 发行版的基本文件夹中的以下文件复制到 "solr-4.X.X/contrib/extraction/lib" 文件夹
将 POI 的 "ooxml-lib/" 文件夹中的 "xmlbeans-2.6.0.jar" 复制到 "solr-4.X.X/contrib/extraction/lib" 文件夹。
验证 "solr-4.X.X/contrib/extraction/lib" 不再包含任何版本号为 "3.10-beta2" 的文件。
验证该文件夹包含一个版本为 2.6.0 的 xmlbeans JAR 文件。
如果您只想禁用 Microsoft Office 文档的提取,请删除上述文件,并且不要替换它们。"Solr Cell" 将自动检测到这一点并禁用 Microsoft Office 文档提取。
即将发布的 Apache Solr 版本将捆绑更新后的库。
Apache Solr 版本 4.8.0、4.8.1、4.9.0 在其二进制发布 tarball 中捆绑了 Apache POI 3.10-beta2。此版本(以及所有之前的版本)的 Apache POI 都存在以下问题
信息泄露: Apache POI 使用 Java 的 XML 组件来解析 Microsoft Office 产品(DOCX、XLSX、PPTX 等)生成的 OpenXML 文件。接受最终用户此类文件的应用程序容易受到 XML 外部实体 (XXE) 攻击,这允许远程攻击者绕过安全限制,并通过精心设计的 OpenXML 文档读取任意文件,该文档提供了 XML 外部实体声明以及实体引用。
拒绝服务: Apache POI 使用 Java 的 XML 组件和 Apache Xmlbeans 来解析 Microsoft Office 产品(DOCX、XLSX、PPTX 等)生成的 OpenXML 文件。接受最终用户此类文件的应用程序容易受到 XML 实体扩展 (XEE) 攻击(“XML 炸弹”),这允许远程黑客消耗大量 CPU 资源。
Apache POI PMC 今天发布了一个错误修复版本 (3.10.1)。
如果 Solr 用户启用发布 tarball 的 "contrib/extraction" 文件夹中的 "Apache Solr 内容提取库 (Solr Cell)" contrib 模块,则会受到这些问题的影响。
强烈建议 Apache Solr 用户,如果他们不使用该模块,请保持禁用状态。或者,Apache Solr 4.8.0、4.8.1 或 4.9.0 的用户可以通过替换分发文件夹中的易受攻击的 JAR 文件来更新受影响的库。早期版本的用户必须先更新其 Solr 版本,旧版本无法修补。
下载 Apache POI 3.10.1 二进制发行版。
解压缩存档。
删除您的 "solr-4.X.X/contrib/extraction/lib" 文件夹中的以下文件
将 Apache POI 发行版的基本文件夹中的以下文件复制到 "solr-4.X.X/contrib/extraction/lib" 文件夹
将 POI 的 "ooxml-lib/" 文件夹中的 "xmlbeans-2.6.0.jar" 复制到 "solr-4.X.X/contrib/extraction/lib" 文件夹。
验证 "solr-4.X.X/contrib/extraction/lib" 不再包含任何版本号为 "3.10-beta2" 的文件。
验证该文件夹包含一个版本为 2.6.0 的 xmlbeans JAR 文件。
如果您只想禁用 Microsoft Office 文档的提取,请删除上述文件,并且不要替换它们。"Solr Cell" 将自动检测到这一点并禁用 Microsoft Office 文档提取。
即将发布的 Apache Solr 版本将捆绑更新后的库。
Lucene PMC 很高兴地宣布发布了 Solr 4.9 的新版本 Solr 参考指南。
这个 408 页的 PDF 文件是 Solr 4.9 的权威用户手册。可以从 Apache 镜像网络下载:https://apache.org/dyn/closer.lua/lucene/solr/ref-guide/。
Lucene PMC 很高兴地宣布 Apache Solr 4.9.0 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.9.0 可立即从以下地址下载:https://solr.apache.org/downloads.html
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Solr 4.9.0 版本亮点
对文档值搜索时间性能的众多优化
允许客户端应用程序通过发送一个可选参数 "min_rf" 来请求更新请求(单个或批量)实现的最小复制因子。
使用新的 ReRankingQParserPlugin 进行查询重新排序支持。
一个新的 [child ...] DocTransformer 用于在搜索结果中选择性地包含块连接子文档。
一个新的(默认)Lucene49NormsFormat,用于更好地压缩某些情况,例如非常短的字段。
Lucene PMC 很高兴地宣布 Apache Solr 4.8.1 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.8.1 可立即从以下地址下载:https://solr.apache.org/downloads.html
Solr 4.8.1 包括 10 个错误修复,以及 Lucene 4.8.1 及其错误修复。
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Lucene PMC 很高兴地宣布发布了 Solr 4.8 的新版本 Solr 参考指南。
这个 396 页的 PDF 文件是 Solr 4.8 的权威用户手册。可以从 Apache 镜像网络下载:https://apache.org/dyn/closer.lua/lucene/solr/ref-guide/
Lucene PMC 很高兴地宣布 Apache Solr 4.8.0 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.8.0 可立即从以下地址下载:https://solr.apache.org/downloads.html
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Apache Solr 现在需要 Java 7 或更高版本(推荐 Oracle Java 7 或 OpenJDK 7,最低更新 55;早期版本存在影响 Solr 的已知 JVM 错误)。
Apache Solr 完全兼容 Java 8。
<fields> 和 <types> 标签已从 schema.xml 中弃用。不再有任何理由将它们保留在 schema 文件中,可以安全地删除它们。如果需要,这允许混合使用 <fieldType>、<field> 和 <copyField> 定义。
新的 {!complexphrase} 查询解析器支持短语查询内的通配符、OR 等。
新的 Collections API CLUSTERSTATUS 操作报告集合、分片和副本的状态,并列出集合别名和集群属性。
添加了托管的同义词和停用词过滤器工厂,使同义词和停用词列表可以通过 REST API 动态管理。
JSON 更新现在支持嵌套的子文档,从而启用 {!child} 和 {!parent} 块连接查询。
添加了 ExpandComponent 以扩展由 CollapsingQParserPlugin 折叠的结果,以及嵌套子文档的父/子关系。
长时间运行的 Collections API 任务现在可以异步执行;新的 REQUESTSTATUS 操作提供状态。
添加了 hl.qparser 参数,允许您为 hl.q 高亮查询定义查询解析器。
在 Solr 单节点模式下,现在可以使用命名的 configset 创建核心。
新的 DocExpirationUpdateProcessorFactory 支持从 "TTL" 表达式计算文档的过期日期,以及定期自动删除过期的文档。
Solr 4.8.0 还包含许多其他新功能,以及对相应 Apache Lucene 版本的众多优化和错误修复。
Lucene PMC 很高兴地宣布 Apache Solr 4.7.2 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.7.2 可立即从以下地址下载:https://solr.apache.org/downloads.html
Solr 4.7.2 包括 2 个错误修复,以及 Lucene 4.7.2 及其错误修复。
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Lucene PMC 很高兴地宣布 Apache Solr 4.7.1 发布。
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.7.1 可立即从以下地址下载:https://solr.apache.org/downloads.html
Solr 4.7.1 包括 28 个错误修复和一个新的配置设置,以及 Lucene 4.7.1 及其错误修复。
请参阅发行版中包含的 CHANGES.txt 文件,获取完整的详细信息列表。
Apache Solr 提交者以绝大多数的投票决定,Apache Solr 的下一个小版本(版本 4.8)需要 Java 7!
下一个版本还将包含一些针对 Java 7 的改进
目录实现中更好的文件处理(尤其是在 Windows 上)。现在可以在 Windows 上删除文件,即使索引仍然打开 - 就像在 Unix 环境中始终可能一样(在最后一次关闭时删除语义)。
排序比较器中的速度改进:排序现在使用 Java 7 自己的整数和长整型排序的比较器,这些比较器已由 Hotspot VM 高度优化。
如果您想保持 Lucene 和 Solr 的最新状态,您应该将您的基础设施升级到 Java 7。请注意,您必须至少使用 Java 7u1。目前推荐的版本是 Java 7u25。较新的版本,如 7u40、7u45 等,存在导致索引损坏的错误。理想情况下,请使用已修复此错误的 Java 7u60 预发布版本。一旦 7u60 正式发布,这将成为推荐版本。此外,Java 7 不再提供 Oracle/BEA JRockit,请使用官方的 Oracle Java 7。JRockit 从未正确地与 Lucene/Solr 一起工作(导致索引损坏),所以这应该不是问题。另请查看我们的 JVM 错误列表:http://wiki.apache.org/lucene-java/JavaBugs
编辑(截至 2014 年 4 月 15 日): 最近发布的 Java 7u55 修复了上述导致索引损坏的错误。此版本现在是运行 Apache Solr 的推荐版本。
Lucene PMC 很高兴地宣布,Solr 4.7 的新版 Solr 参考指南已发布。
这份 395 页的 PDF 文件是 Solr 4.7 的权威用户手册。可以从 Apache 镜像网络下载:https://apache.org/dyn/closer.lua/lucene/solr/ref-guide/
Lucene PMC 很高兴地宣布 Apache Solr 4.7 的发布
Solr 是来自 Apache Lucene 项目的流行的、速度极快的开源 NoSQL 搜索平台。其主要功能包括强大的全文搜索、命中突出显示、分面搜索、动态聚类、数据库集成、丰富的文档(例如,Word、PDF)处理和地理空间搜索。Solr 具有高度可扩展性,提供容错的分布式搜索和索引,并为许多世界上最大的互联网网站的搜索和导航功能提供支持。
Solr 4.7 可立即从以下网址下载:https://solr.apache.org/mirrors-solr-latest-redir.html
有关详细信息的完整列表,请参阅发行版中包含的 CHANGES.txt 文件。
新的迁移集合 API,用于将所有具有路由键的文档拆分到另一个集合中。
增加了对三级 compositeId 路由的支持。
Admin UI - 添加了新的文件配置目录浏览器/文件查看器。
为 Lucene 的 SimpleQueryParser 添加一个 QParserPlugin。
建议改进:一个全新的 SuggestComponent,它充分利用了 Lucene suggester 模块;查询现在可以使用多个 suggester;现在支持 Lucene 的 FreeTextSuggester 和 BlendedInfixSuggester。
新的 cursorMark 请求参数,用于高效地对排序结果集进行深度分页。请参阅 http://s.apache.org/cursorpagination
添加一个 Solr contrib,允许通过 Hadoop 的 MapReduce 构建 Solr 索引。
升级到 Spatial4j 0.4。现在为 RPT 字段类型自动公开各种新选项。请参阅 Spatial4j CHANGES & javadocs。 https://github.com/spatial4j/spatial4j/blob/master/CHANGES.md
SolrCloud 的 SSL 支持。
Solr 4.7 还包括许多其他新功能以及大量的优化和错误修复。