Apache Jackrabbit 2.10.1 发布,此版本修复了 jackrabbit-webdav 模块一个重要的安全问题。 此版本现已提供下载:http://jackrabbit.apache.org/downloads.html。 安全修复 (JCR-3883 / CVE-2015-1833) -------------------------------------------- 当处理一个包含 XML 的 WebDAV 请求 body 的时候,XML 解析器可以从网络资源访问主机读取内容。通过 URI 模式 "http(s)" 或 "file" 标识的。根据 WebDAV 的请求,这不仅能用来追踪内部网络请求,也可以在请求中插入内容,可能会暴露给攻击者或其他人。 相比 Jackrabbit 2.10.0 的改进 ------------------------------- Bug 修复 [JCR-3853] JCR2SPI: Load ac provider resource [JCR-3871] POI Vulnerabilities [JCR-3872] Config DTD does not declare ProtectedItemImporter elements [JCR-3873] CachingDataStore not safe against crashes, corrupted uploads file will prevent system startup [JCR-3876] POM dependency to jackrabbit-data test-jar is not test-scoped [JCR-3878] Fix test case failure in jackrabbit-data [JCR-3883] Jackrabbit WebDAV bundle susceptible to XXE/XEE attack 改进 [JCR-3864] CachingDatastore -cache file sizes to save remote call to remote datastore( S3DS) [JCR-3868] Adapt TestCaseBase.java to test for FileDatastore [JCR-3869] CachingDataStore for SAN or NFS mounted storage [JCR-3879] Remove contention in AsyncUploadCache to improve performance [JCR-3881] Change CachingFDS configuration properties 新特性 [JCR-3836] Allow to get an Authorizable of a given type 子任务 [JCR-3837] Add AuthorizableTypeException in user security API package 完整改进内容请看:https://issues.apache.org/jira/browse/JCR。 Apache Jackrabbit 是由 Apache Foundation 提供的 JSR-170 的开放源码实现.. 随着内容管理应用程序的日益普及,对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是,它不绑定到任何特定的底层架构。例如,JSR-170 实现的后端数据存储可以是文件系统、WebDAV 仓库、支持 XML 的系统,甚至还可以是 SQL 数据库。此外,JSR-170 的导出和导入功能允许一个集成器在内容后端与 JCR 实现之间无缝地切换。 Apache Jackrabbit 2.10.1 发布下载地址
