Apache Solr XML外部实体注入漏洞(CVE-2013-6407)

Apache0 2013-12-02

发布日期:2013-11-28
更新日期:2013-12-02

受影响系统:
Apache Group Solr 3.6.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 64008
CVE(CAN) ID: CVE-2013-6407

Solr 是一种可供企业使用的、基于Lucene 的搜索服务器,它支持层面搜索、命中醒目显示和多种输出格式。

Apache Solr 3.6.1及其他版本在解析XML实体时出错,攻击者通过包含外部实体引用的XML文档,利用此漏洞可泄露某些本地文件的内容,或导致拒绝服务。

<*来源:Martin Herfurt ([email protected]
 
  链接:http://secunia.com/advisories/55542/
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

https://issues.apache.org/jira/browse/SOLR
https://issues.apache.org/jira/browse/SOLR-3895
https://issues.apache.org/jira/browse/SOLR-4881

Solr 的详细介绍:请点这里
Solr 的下载地址:请点这里

相关阅读:

Apache0

Apache0

相关推荐

一个快速找到Spring框架是在哪里找到XML配置文件并解析Beans定义的小技巧

The line 399 where exception is raised will be automatically located. The core logic to load xml file is just near the exception

与卿画眉共浮生 / 0评论 2020-10-14

浅谈XML和JSON的区别

今天做接口对接时,发现对方竟然是通过XML进行数据传输,当时冒出的第一个想法就是:WTF,这都什么年代了,还在用XML,是来搞笑的吧,JSON它不香吗?XML 标签没有被预定义。XML 被设计为具有自我描述性。这些特性使JSON成为理想的数据交换语言。格式

xiyang / 0评论 2020-08-21

类转json、 json转xml的方法,转SortedDictionary转 xml 的方法。

The root object must have a single property in order to create a valid XML document.根对象必须有一个属性才能创建有效的XML文档。DBCHM 这个软件好用,看数据结构,生成

baijinswpu / 0评论 2020-07-29

新Jenkins实践-第4章 Jenkins系统用户认证配置管理

我们进入系统设置 > 全局安全配置,在这里可以配置jenkins的用户认证和授权策略。在配置之前还是要嘱咐一句,由于配置失败或者不当可能会影响后续用户的登录。在此建议大家首先在测试环境进行测试。可以提前将${JENKINS_HOME}/config.

leonranri / 0评论 2020-07-26

springmvc常用方法以及注解

会话期间指的是浏览器打开该页面,到关闭。一般用于存放用户信息。把自己要的数据放在session里面传来传去.Model 和 ModelMap 的实例都是spirng mvc框架来自动创建并作为控制器方法参数传入,用户无需自己创建。而且需要return 返回

zhongliwen / 0评论 2020-07-05

javascript实用

JavaScript引擎是一个事件驱动的执行引擎,代码总是以单线程执行,而回调函数的执行需要等到下一个满足条件的事件出现后,才会被执行。Infinity:表示无限大,当数值超过JavaScript的Number所能表示的最大值时。据此,应严格遵守“在函数内

麋鹿麋鹿迷了路 / 0评论 2020-07-05

AI芯片加速图像识别

法国研究机构CEA-Leti和LIST在2020年VLSI研讨会上展示了一种概念验证芯片,该芯片集成了低功耗物联网节点和人工智能加速器,并展示了超快的唤醒时间,峰值至空闲功耗降低了1500倍。对于机器学习任务,该节点每秒可提供高达1.3tera次运算/瓦特

zengyu00 / 0评论 2020-07-05

Spring解析Xml注册Bean流程

有道无术,术可求;有术无道,止于术;加油~!!!!!那么Spring是如何进行Bean的注册的呢?经过这几天的源码查看我写下了这篇文章来作为笔记,再此之前我先bb几句,为了方便查看源码,可以去GitHub上下载Spring的源码导入到Idea或者是ecli

XGQ / 0评论 2020-07-04

ApplicationContext 通常的实现是什么?

载 beans 的定义,XML Bean 配置文件的全路径名必须提供给它的构造函数。载 beans 的定义,这里,你需要正确设置 classpath 因为这个容器将在 classpath. 义了一个 WEB 应用的所有 bean。

CoderBoy / 0评论 2020-06-28

Spring 的历史

本文主要去介绍spring 的历史和每个版本发布的不同的功能。Spring的第一次出现在2020年的“Expert One-on-One J2EE Design and Developmen”上。更通用的事务管理。support for source-le

whbing / 0评论 2020-06-28

Wide-Bandgap宽禁带(WBG)器件(如GaN和SiC)市场将何去何从?

Wide-Bandgap宽禁带器件市场将何去何从?电力电子在采用宽禁带器件方面有了一个有趣的转变。虽然硅仍然主导着市场,但GaN和SiC器件的出现将很快引导技术朝着新的、更高效的解决方案发展。Yole Dédeveloppement估计,到2025年,Si

绝望的乐园 / 0评论 2020-06-27

5G和AI机器人平台

高通技术公司周三推出了一款高级5G和人工智能机器人平台,该平台具有先进的高性能边缘计算和计算机视觉功能。此前,该公司刚刚在一年多前推出了入门级机器人平台。新推出的机器人RB5平台是其最先进、集成化、全面的产品,专为机器人技术而设计。声称,迄今为止,已与许多

wellfly / 0评论 2020-06-26

嵌入式C程序基础与编程结构

Basics of Embedded C Program and Programming Structure. 首先也是最重要的是决定嵌入式系统功能的嵌入式软件。早期,许多嵌入式应用程序是使用汇编级编程开发的。编写的C代码更加可靠、可伸缩和可移植;而且事实

菇星獨行 / 0评论 2020-06-25

英特尔图形处理器第8代架构

The Compute Architecture of Intel Processor Graphics Gen8. 了解英特尔体系结构的软件、硬件和产品处理器图形第8代。与运行相关的架构特性,英特尔处理器图形上的计算应用程序。这个Gen8白皮书更新了“I

草原孤狼 / 0评论 2020-06-25

【AJAX】Asynchronous JavaScript And XML (非同步的JS &amp; XML)

AJAX 即“Asynchronous Javascript And XML”。是指一种创建交互式网页应用的网页开发技术。ajax 是一种浏览器通过 js 异步发起请求,局部更新页面的技术。网页不刷新的情况下,从服务器中获取数据的解决方案。- url ,你

坚持着执着 / 0评论 2020-06-16

Ajax(2) —— Ajax接收JSON数据

JSON是一种存储和交换文本信息的语法。因为JSON比XML更轻量,效率更高,更易解析,所以在Ajax中前后台传输数据一般都使用的是JSON格式。JSON最常见的用法之一,是从web服务器上读取JSON格式的字符串数据,将JSON数据转化为JavaScri

wcqwcq / 0评论 2020-06-14

ApplicationContext 通常的实现是什么?

载 beans 的定义,XML Bean 配置文件的全路径名必须提供给它的构造函数。载 beans 的定义,这里,你需要正确设置 classpath 因为这个容器将在 classpath. 义了一个 WEB 应用的所有 bean。

yuanye0 / 0评论 2020-06-14

SpringMVC零xml配置原理

用起来比较麻烦,用过springboot的朋友应该知道,springboot中使用springmvc时候就不会去指定xml。那这样的操作是怎么实现的呢,下面我们就来探究下springmvc零配置xml原理。然后重写接口中的onStartup()方法。然后在

zhongliwen / 0评论 2020-06-13

spring的IOC容器ApplicationContext和BeanFactory

beanfactory是ioc的基础容器,它主要的实现类XmlBeanFactory类,这个容器从一个 XML 文件中读取配置元数据,由这些元数据来生成一个被配置化的系统或者应用。2)注入是用的是BeanDefination,那么是怎么把class文件跟它

MrFuWen / 0评论 2020-06-09

了解 OWASP TOP 10

输入时将一些包含指令的数据发送给解析器,解释器当成命令执行。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

layloge / 0评论 2020-06-07

CUDA C++编程接口:编译

CUDA C++为熟悉C++编程语言的用户提供了一个简单的路径,以方便地编写程序以执行该设备。它由一组最小的扩展到C++语言和运行库。在编程模型中引入了核心语言扩展。它们允许程序员定义内核作为C++函数,并使用一些新的语法来指定每次调用函数时的网格和块维数

bapinggaitianli / 0评论 2020-06-04

用jmeter编写脚本做实时线上监控

## 判断xml日志文件是否存在,不存在,lb=`cat $log/mtl_pc.xml |xml2|grep "@lb"|awk -F "=" ‘{print $2}‘|tail -1`. failureMessa

新路 / 0评论 2020-06-03

Java Spring Cloud 实战之路 - 1 创建项目

嗯,在这个系列里就不做过多的介绍了。POM 全称 project object model,也就是项目对象模型,它是maven项目的标注文件,采用XML格式,名称就是pom.xml。pom文件对于maven项目重要到,一个maven项目可以没有其他的任何文

loveyy / 0评论 2020-06-01

4、SpringMVC:Hello,SpringMVC

--关联一个springmvc的配置文件:-servlet.xml-->. --/* 匹配所有的请求;-->. --视图解析器:DispatcherServlet给他的ModelAndView-->

方志朋 / 0评论 2020-05-30

XPath提取猫眼电影

XML称为可扩展标记语言,XML是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,可以说它是一个拥有互联网最高级别通行证的数据携带者。HTML 和 XML的区别在于HTML主要用来显示数据,XML是用来传输数据。XML都

Andrewjdw / 0评论 2020-05-29

用DOM实现对XML文件的解析

DOM的 xml.dom.minidom 子模块、xml.dom.pulldom 子模块分别提供两种形式的解析器。该解析器解析成功,返回指定 XML 文件的一个文档对象。[‘Enemy Behind‘, ‘War, Thriller‘, ‘DVD‘, ‘P

Yakamoz / 0评论 2020-05-26

OWASP TOP 10 web安全威胁---A注入攻击

当应用程序将用户输入的内容拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。在web应用服务器前部署WAF设备。攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。也就是说服务器端接收和解析了来自用户

重善奉行 / 0评论 2020-05-25

HTML和XML的区别

HTML和XML的区别是:语法要求不同,标记不同,作用不同。在XML中,是严格的树状结构,绝对不能省略掉结束标记。XML 和HTML 的目标不同HTML 的设计目标是显示数据并集中于数据外观,而XML的设计目标是描述数据并集中于数据的内容。与HTML 相似

行吟阁 / 0评论 2020-05-18

SpringMVC=&gt;web.xml基本配置

--通过初始化参数指定SpringMVC配置文件的位置,进行关联-->. -- 启动顺序,数字越小,启动越早 -->. --所有请求都会被springmvc拦截 -->. --解决中文乱码问题-->

spring艳 / 0评论 2020-05-16

jQuery实现的解析本地 XML 文档操作示例

本文实例讲述了jQuery实现的解析本地 XML 文档操作。分享给大家供大家参考,具体如下:。Create a jQuery object using an XML string and obtain the value of the title node

88491874 / 0评论 2020-04-30

将dlib xml数据转换成YOLOv3 数据

dlib 的训练数据是一个测试文件夹和一个训练文件夹,分别放着若干图片和一个xml文件,xml文件保存了对应图片的标注信息。| xml2txt.py # 将train下的图片转到JPEGImages中并随机命名, train.xml 转成labels中

cyydjt / 0评论 2020-05-11

Odoo安装教程12-创建新的插件模块之设置视图层第一讲

视图层为用户界面的描述,视图用 XML 定义,由网页客户端框架生成数据感知的 HTML 视图。比如, Users 菜单项处理一个同样名为 Users 的操作,然后渲染一系列视图。有多种可用视图类型,如 list列表视图和 form 表单视图,以及包含过滤项

Java学习 / 0评论 2020-05-11

使用opencap评估CentOS 8的PCI DSS合规

$ oscap xccdf generate report --output report.html results.xml

大老张学编程 / 0评论 2020-05-11

ajax怎么获取json数据和xml数据

json和xml不同的地方是得到响应方法。如需获得来自服务器的响应,请使用 XMLHttpRequest 对象的 responseText 或 responseXML 属性。获得字符串形式的响应数据。var data = xhr.responseXML;/

春雨的雕刻时光 / 0评论 2020-05-10

python爬虫-Re正则表达式介绍和实际应用

通过这些内建函数我们可以对字符串进行一些简单的处理,从而达到数据清洗等目的。在Python中有index()——定位、 find()——查找、split()——分隔、 count()——计数、 replace()——替换等。

leap / 0评论 2020-05-09

Spring MVC(配置、入门)

什么是Spring的MVC框架?Spring配备构建Web应用的全功能MVC框架。Spring可以很便捷地和其他MVC框架集成,如Struts,Spring的MVC框架用控制反转把业务对象和控制逻辑清晰地隔离。它也允许以声明的方式把请求参数和业务对象绑定。

HappyHeng / 0评论 2020-05-07

Android开发 VectorDrawable 矢量图 (四)矢量图动画放入到一个xml文件中

  在前面的博客Android 开发 VectorDrawable 矢量图 (三)矢量图动画里,了解了group动画与path动画的实现。但是,可能有些人会觉得这些动画的实现的xml文件实在是太多了。此篇博客就将说明如何将所有的矢量图与动画全放到一个xml

hqulyc / 0评论 2020-05-05

spring入门

加载相应jar包或坐标:spring-context,spring-core,spring-beans,spring-expression,commons-logging,lombok. <bean id="对这个bean取一个唯一名&qu

方志朋 / 0评论 2020-05-04

【Mybatis】11 注解的使用

在没有注解之前,xml被广泛的应用于描述元数据,xml的维护越来越糟糕。在需要紧耦合的地方,比xml该容易维护,阅读更方便。xml是松耦合的,注解是紧耦合的,对于xml和注解的使用,要具体问题具体分析。例如,这种情况下xml更胜一筹:MyBatis XML

Justagreenonion / 0评论 2020-05-04

01_Mybatis基础

Mybatis原始apache的开源项目iBatis,后来迁移到google code,改名Mybatis。iBatis来源:internet+abates,一个基于java的持久层框架:SQL maps +DAO。Mybatis:支持定制化SQL、存储过

zhiyuan0 / 0评论 2020-05-04

【mybatis xml】数据层框架应用--Mybatis(三)关系映射之一对一关系映射

实际的开发中,对数据库的操作常常会涉及到多张表,这在面向对象中就涉及到了对象与对象之间的关联关系。针对多表之间的操作,MyBatis提供了关联映射,通过关联映射就可以很好的处理对象与对象之间的关联关系。MyBatis加载关联关系对象主要通过两种方式:嵌套查

技术驱动人生 / 0评论 2020-05-03

【mybatis xml】数据层框架应用--Mybatis(四)关系映射之一对多关系映射

实际的开发中,对数据库的操作常常会涉及到多张表,这在面向对象中就涉及到了对象与对象之间的关联关系。针对多表之间的操作,MyBatis提供了关联映射,通过关联映射就可以很好的处理对象与对象之间的关联关系。MyBatis加载关联关系对象主要通过两种方式:嵌套查

kevincheung / 0评论 2020-05-03

网站地图sitemap.xml自动更新lastmod文件(PHP代码)-更新

上一遍《网站地图sitemap.xml自动更新lastmod文件》代码在实际应用中并不理想,在浏览器中访问后,过一会就出现500的错误,不能实现夜间或者凌晨变更日期的目的。对代码进行了更新,把更新后的php页面在index.php中被调用,也就是只要有人访

有梦就能实现 / 0评论 2020-05-01

Springboot - mybatis使用xml方式

Springboot - Mybatis - SQL语句可以使用接口加注解的方式,也可以用xml的方式,所以本篇记录 xml 方式怎么做

yunzhonmghe / 0评论 2020-04-29

SpringMVC-数据输出、Map、Model、视图解析、处理Json

-- 字符编码过滤器-->. --encoding:指定解决POST请求乱码-->

方志朋 / 0评论 2020-04-25

【Tomcat8源码学习之五】Digester

Tomcat源码版本:apache-tomcat-8.5.54-srcJDK源码版本:jdk1.8.0_171. 此处的XML元素根据匹配模式识别,而相关操作由规则定义。//1.准备好用来解析server.xml文件需要用的digester。// 将xml

mbcsdn / 0评论 2020-04-23

端到端全景分割

全景分割是一个具有挑战性的课题,它需要为每个像素指定一个类别标签,同时对每个对象实例进行分割。此外,通常采用启发式方法对结果进行合并。然而,在合并过程中,如果没有足够的上下文信息,很难确定对象实例之间的重叠关系。此外,本文还引入了一个新的空间排序模块来处理

Oudasheng / 0评论 2020-04-19

mybatis-generator 自动生成mybatis代码与xml

<?xml version="1.0" encoding="UTF-8"?>. <artifactId>spring-boot-starter-parent</artifactId>

javamagicsun / 0评论 2020-04-18

redis的使用

set和get设置的都是字符串类型。随机的返回一个key, 注意:返回的是 key 而不是 值!检查给定 key 是否存在。如果存在,那么返回1,如果不存在,那么返回0

liuyong00 / 0评论 2020-04-17

Unity3D性能优化之内存

这部分内存实际上是没有办法去“管理”的,它们将在内存中从一开始到最后一直存在。优化只能减少使用的库。托管堆用来存放类的实例。

85497718 / 0评论 2020-04-15