SOLR 8.11.1 :: VELOCITY :: JAVAオブジェクトの静的メソッドにアクセスできません
コピーリンク
(The bot translated the original post https://lists.apache.org/thread/ccxr7mqwyznbzdh906y7q0z4k0f9cvkr into Japanese and reposted it under Apache License 2.0. The copyright of posted content is held by the original poster.)
お手伝いが必要です...
SOLR 7.5では、"Class.forName" / "getClass.forName" を使用してJAVAオブジェクトにアクセスできました:
set($sysEnv=$engine.getClass.forName('java.lang.System'))
set($sysEnv=$engine.class.forName('java.lang.System'))
しかし、SOLR 8.11.1ではこれがもう機能しなくなっており、その理由がわかりません。
おそらく設定の問題であり、セキュリティ上の理由からだと思われます。
多くの試行を行いましたが、まだ解決策を見つけられず、現在少し困っています。
あなたの助けや正しい方向への指示を期待しています。
どうもありがとうございます!
よろしくお願いします。
Jan
これはセキュリティホールであり、大きなアンチパターンでした。
Velocityは今後の9.0リリースから削除される予定ですので、もし使い続けたい場合は自己責任になると思います。
Jan
これはまだ8.xで可能ですか?もしそうなら、それがセキュリティ問題になり得るということをドキュメントに記載する価値があると思います。それなら私がその役割を果たせるでしょう。
Andy
元の質問は開発者リストにも投稿されました(実際、この質問にはそちらのリストの方が適しています)。私はまずそちらを見て、以下のように回答しました。
先に進む前に、以下を確認してください:
https://issues.apache.org/jira/browse/SOLR-15844
また、https://issues.apache.org/jira/browse/SOLR-13971、https://issues.apache.org/jira/browse/SOLR-14025 およびそれらに関連するCVEを確認してください。これらを読んだ後、このような危険な機能を有効に続ける必要があると感じる場合(推奨されませんが、あなたのシステムです)、Solrのより早いバージョン(おそらく14025が修正される前のもの)を選択するか、または後のバージョンのSolrをパッチしてSecureUberspectorを使用しないようにしたり、異なる設定にしたりする必要があるかもしれません(詳細は https://github.com/apache/lucene-solr/commit/128360856d50d7b39473644e6c1c21ba11766195#diff-1e87c2460a42a273fc3b5a63c26f6fbe3f580f2001876d6792063cba6b3a47a0R379 を参照)。
いずれにせよ、将来のバージョンではデフォルトでVelocityが利用できなくなり、Solritasパッケージをインストールする必要があることにも注意しておく必要があります(詳細は https://issues.apache.org/jira/browse/SOLR-14792 を参照)。
これで十分ではない場合は、他の進む道を計画するか、自らSolritasへの改善を貢献することを検討してください。
Gus
トピックへ返信するには、ログインが必要です。