COMSOL 软件是否受 Apache Solr 安全漏洞影响？

问题描述

COMSOL 软件是否集成了 Apache Solr™？如果是，当前版本是否受到其已知安全漏洞的影响？

解决方法

总体说明

COMSOL 软件的以下功能集成了内置的 Apache Solr 搜索平台软件：

• COMSOL Multiphysics 与 COMSOL Documentation 中的文档与帮助系统（当帮助 > 源 > 位置 首选项设置为本地 时）
• COMSOL Multiphysics 中的本地模型管理器数据库
• 模型管理器服务器（仅当使用管理的搜索索引服务器时）

从 COMSOL 6.3 版本更新 3 和 6.4 版本更新 2 开始，文档系统和“模型管理器服务器”所使用的 Apache Solr 分发包中不再包含可选的 Solr Extraction 模块。早期版本包含该模块是为了利用其中的 Apache Tika 软件为文档建立索引。

COMSOL 会在各类更新版本中尽力保持第三方软件的最新状态。需要注意的是，用户无法手动更新 Apache Solr 软件。如确有需要，请参考下文关于 Apache Solr 安全漏洞的详细信息，了解如何从 COMSOL 安装中移除 Apache Solr 软件。

安全漏洞说明

Apache 在 Solr™ Security News 页面发布了 Solr 安全公告。

并非 Apache Solr 的所有安全漏洞都会影响 COMSOL 软件，因为 COMSOL 软件并未暴露其内置 Apache Solr 分发的全部功能。事实上，COMSOL 软件通常仅使用 Apache Solr 中相对有限的功能子集，且默认不将 Apache Solr 软件直接暴露在网络中。这意味着：即使某个 CVE 漏洞适用于特定 COMSOL 版本所包含的 Apache Solr 版本（详见下文），但由于受影响的功能并未启用或无法被外部访问，COMSOL 软件仍可被评估为不受该漏洞影响。

对于评估为 COMSOL 软件不受影响的漏洞，建议根据贵组织的安全策略选择最合适的应对方式：

1. 无需额外操作，保持 COMSOL 软件为最新版本。信任 COMSOL 的漏洞评估结果，通过常规产品更新使 COMSOL 软件保持最新。
2. 应用 Apache Solr 官方解决措施。能够提供更高程度的安全（无漏洞）确定性，且通常不影响 COMSOL 软件功能。
3. 移除内置的 Apache Solr 软件。当安全评估主要依赖漏洞扫描器时，此方法可避免误报，但会移除 COMSOL 软件的某些功能。

漏洞评估详情

• CVE-2026-22022
  评估结果：不适用
  COMSOL 软件不依赖“基于规则的授权插件”。

• CVE-2026-22444
  CVE-2024-52012
  CVE-2025-24814
  评估结果：COMSOL 默认配置下不受影响
  COMSOL 软件将 Apache Solr 配置为连接其 API 时需要身份验证，且默认仅监听本地回环接口，因此远程/不可信用户无法访问。

• CVE-2025-66516
  评估结果：不受影响
  自 6.3 版本更新 3 和 6.4 版本更新 2 起，COMSOL 软件不再包含受影响的 Apache Tika 模块。（在更早版本中，COMSOL 软件仅在对自带的帮助和文档文件建立索引时使用该存在漏洞的提取模块，而非处理用户提供的任意文档，因此并未暴露于非受信输入。此外，COMSOL 软件不对 PDF 文档建立索引，“模型管理器服务器”也完全不对文档文件建立索引。）

Apache Solr 还包含 Apache SolrJ（一个用于调用 Solr API 的客户端库），后者的漏洞与 Apache Solr 分开跟踪。

当前 COMSOL 各版本内置的 Apache Solr 版本

以下是目前受支持的 COMSOL 版本所包含的 Apache Solr 软件版本：

• COMSOL 6.4 更新 2：
  Apache Solr 8.11.4（不含 Apache Tika）
• COMSOL 6.3 更新 3：
  Apache Solr 8.11.4（不含 Apache Tika）

通用查询方法：如需查看某一 COMSOL 软件安装中内置的 Apache Solr 软件版本，可执行以下步骤：

1. 定位到 COMSOL 软件安装目录中的 Apache Solr 子目录。默认安装路径如下：
   • Windows：C:\Program Files\COMSOL\COMSOL64[Product]\ext\solr
   • macOS：/Applications/COMSOL64/[Product]/ext/solr
   • Linux：/usr/local/comsol64/[product]/ext/solr
   • [Product] 路径段：Multiphysics 对应 COMSOL Multiphysics，ModelManagerServer 对应 COMSOL 模型管理器服务器；在 Linux 系统中，该 [product] 路径段需使用小写形式。
2. 打开 CHANGES.txt 文件，根据最近的更改记录确定 Apache Solr 版本。
3. 查看 dist 和 server 子目录中 jar 文件的文件名，以识别 Apache Solr 所依赖的各个第三方库分别是什么版本。

如何移除 Apache Solr

从 COMSOL Multiphysics 安装中移除

要彻底移除 COMSOL Multiphysics 安装中的 Apache Solr 软件，请按上述方法定位到 Multiphysics 目录，删除以下目录和文件：

• ext/solr
• plugins/lib.external.solrj.embedded_8.11.4.jar

然后，找到 bin/[arch] 目录下的 comsol.ini 文件（其中 [arch] 为当前平台，可选值：win64、macarm64、maci64、glnxarm64 或 glnxa64），在文件末尾添加以下行：

• -Dcs.docsearch=off（请在该行末尾添加换行，以确保文件处理时能够正确读取）

移除 Apache Solr 软件和修改 comsol.ini 文件后的影响：

• 在线帮助：可正常使用。
• 本地帮助：可使用，但搜索功能被禁用。
• 模型管理器：只能使用服务器数据库，无法使用本地数据库。

注意： 对 COMSOL Multiphysics 安装进行上述更改需要管理员权限。在 Windows 上，用于编辑 comsol.ini 的文本编辑器也需要以管理员身份运行，才能保存文件。

从“COMSOL 模型管理器服务器”安装中移除

对于“模型管理器服务器”，Apache Solr 软件仅随可选的托管 Apache Solr™ 组件一同提供。要移除该组件，请执行以下步骤：

1. 启动“COMSOL 模型管理器服务器”安装程序。
2. 选择添加/移除产品和重新安装。
3. 取消选中该组件。

注意： 如果没有安装 Apache Solr 软件，“模型管理器服务器”将无法自动创建带托管组件的服务器数据库。此时如需使用搜索功能，可改为使用外部搜索索引服务：即自行部署 Apache Solr 服务器，并将“模型管理器服务器”配置为连接该外部服务（具体配置方法请参阅相关文档）。

按类别浏览