Apache Jackrabbit 2.8.1 发布
腾讯SNG夏日招聘集结号:200个空缺岗位,JAVA、C++、云计算、Android……Apache Jackrabbit 2.8.1 发布,此版本现已提供下载:http://jackrabbit.apache.org/downloads.html。
Apache Jackrabbit(TM) 2.8.1,完全兼容 Content Repository for Java(TM) Technology API 实现,Java Specification Request 283 (JSR 283) 指定的版本 2.0 (JCR 2.0)。
Apache Jackrabbit 2.8.1 包括 Jackrabbit 2.8 的 bug 修复和改进,是稳定版本,可以在生产环境使用。
Security advisory (JCR-3883 / CVE-2015-1833)
--------------------------------------------
此版本包括 jackrabbit-webdav 模块重要的安全问题修复
当处理一个包含 XML 的 WebDAV 请求 body 的时候,XML 解析器可以从网络资源访问主机读取内容。通过 URI 模式 "http(s)" 或"file" 标识的。根据 WebDAV 的请求,这不仅能用来追踪内部网络请求,也可以在请求中插入内容,可能会暴露给攻击者或其他人。
请尽快升级 jackrabbit-webdav 模块,或者禁止 WebDAV 访问。
相比 Jackrabbit 2.8.0 的改进
------------------------------
改进
Add simple allow/deny/clear convenience methods to
AccessControlUtils
Backport OAK-1612, OAK-1615, OAK-1616
StreamWrapper can attempt to reset other types of InputStreams
Use SimpleFSDirectory by default
AbstractPrincipalProvider cachesize is not configurable
Bug 修复
Deadlock due to IOException in
WorkspaceUpdateChannel.updatePrepared()
ReplacePropertyWhileOthersReadTest fails when run with
ConcurrentTestSuite
AccessControlUtils.clear should not retrieve applicable
policies
timing related TokenProviderTest failures
TokenProvider.createToken is case sensitive
NPE while building path in lucene index consistency checker
ConnectionHelper swallows exception when it fails to reset
binary streams after a failed SQL statement execution
AppendRecord should allow reattempting database insertions
of journal records should the initial attempt fail
IllegalStateException in LockManager#unlock
SeededSecureRandom thread can prevent Jackrabbit from
shutting down
NodeTypeDefDiff does not take same-name child type
definitions into account
RepositoryStartupServlet constructs FileStore incorrectly
POI Vulnerabilities
Jackrabbit WebDAV bundle susceptible to XXE/XEE attack
(CVE-2015-1833)
详细列表请看:https://issues.apache.org/jira/browse/JCR
Apache Jackrabbit 是由 Apache Foundation 提供的 JSR-170 的开放源码实现..
随着内容管理应用程序的日益普及,对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是,它不绑定到任何特定的底层架构。例如,JSR-170 实现的后端数据存储可以是文件系统、WebDAV 仓库、支持 XML 的系统,甚至还可以是 SQL 数据库。此外,JSR-170 的导出和导入功能允许一个集成器在内容后端与 JCR 实现之间无缝地切换。
页:
[1]