6月14日 上海 OSC 源创会开始报名啦,有很多机械键盘送哦!!!
Apache Jackrabbit 2.10.1 发布,此版本修复了 jackrabbit-webdav 模块一个重要的安全问题。
此版本现已提供下载: http://jackrabbit.apache.org/downloads.html 。
安全修复 (JCR-3883 / CVE-2015-1833)
--------------------------------------------
当处理一个包含 XML 的 WebDAV 请求 body 的时候,XML 解析器可以从网络资源访问主机读取内容。通过 URI 模式 "http(s)" 或 "file" 标识的。根据 WebDAV 的请求,这不仅能用来追踪内部网络请求,也可以在请求中插入内容,可能会暴露给攻击者或其他人。
相比 Jackrabbit 2.10.0 的改进
-------------------------------
Bug 修复
[JCR-3853] JCR2SPI: Load ac provider resource
[JCR-3871] POI Vulnerabilities
[JCR-3872] Config DTD does not declare ProtectedItemImporter elements
[JCR-3873] CachingDataStore not safe against crashes, corrupted
uploads file will prevent system startup
[JCR-3876] POM dependency to jackrabbit-data test-jar is not test-scoped
[JCR-3878] Fix test case failure in jackrabbit-data
[JCR-3883] Jackrabbit WebDAV bundle susceptible to XXE/XEE attack
改进
[JCR-3864] CachingDatastore -cache file sizes to save remote call to
remote datastore( S3DS)
[JCR-3868] Adapt TestCaseBase.java to test for FileDatastore
[JCR-3869] CachingDataStore for SAN or NFS mounted storage
[JCR-3879] Remove contention in AsyncUploadCache to improve performance
[JCR-3881] Change CachingFDS configuration properties
新特性
[JCR-3836] Allow to get an Authorizable of a given type
子任务
[JCR-3837] Add AuthorizableTypeException in user security API package
完整改进内容请看: https://issues.apache.org/jira/browse/JCR 。
Apache Jackrabbit 是由 Apache Foundation 提供的 JSR-170 的开放源码实现..
随着内容管理应用程序的日益普及,对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是,它不绑定到任何特定的底层架构。例如,JSR-170 实现的后端数据存储可以是文件系统、WebDAV 仓库、支持 XML 的系统,甚至还可以是 SQL 数据库。此外,JSR-170 的导出和导入功能允许一个集成器在内容后端与 JCR 实现之间无缝地切换。