转载

Apache Jackrabbit 2.10.1 发布

6月14日上海 OSC 源创会开始报名啦，有很多机械键盘送哦！！！

Apache Jackrabbit 2.10.1 发布，此版本修复了 jackrabbit-webdav 模块一个重要的安全问题。

此版本现已提供下载： http://jackrabbit.apache.org/downloads.html 。

安全修复 (JCR-3883 / CVE-2015-1833)

--------------------------------------------

当处理一个包含 XML 的 WebDAV 请求 body 的时候，XML 解析器可以从网络资源访问主机读取内容。通过 URI 模式 "http(s)" 或 "file" 标识的。根据 WebDAV 的请求，这不仅能用来追踪内部网络请求，也可以在请求中插入内容，可能会暴露给攻击者或其他人。

相比 Jackrabbit 2.10.0 的改进

-------------------------------

Bug 修复

[JCR-3853] JCR2SPI: Load ac provider resource

[JCR-3871] POI Vulnerabilities

[JCR-3872] Config DTD does not declare ProtectedItemImporter elements

[JCR-3873] CachingDataStore not safe against crashes, corrupted

uploads file will prevent system startup

[JCR-3876] POM dependency to jackrabbit-data test-jar is not test-scoped

[JCR-3878] Fix test case failure in jackrabbit-data

[JCR-3883] Jackrabbit WebDAV bundle susceptible to XXE/XEE attack

改进

[JCR-3864] CachingDatastore -cache file sizes to save remote call to

remote datastore( S3DS)

[JCR-3868] Adapt TestCaseBase.java to test for FileDatastore

[JCR-3869] CachingDataStore for SAN or NFS mounted storage

[JCR-3879] Remove contention in AsyncUploadCache to improve performance

[JCR-3881] Change CachingFDS configuration properties

新特性

[JCR-3836] Allow to get an Authorizable of a given type

子任务

[JCR-3837] Add AuthorizableTypeException in user security API package

完整改进内容请看： https://issues.apache.org/jira/browse/JCR 。

Apache Jackrabbit 是由 Apache Foundation 提供的 JSR-170 的开放源码实现..

随着内容管理应用程序的日益普及，对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是，它不绑定到任何特定的底层架构。例如，JSR-170 实现的后端数据存储可以是文件系统、WebDAV 仓库、支持 XML 的系统，甚至还可以是 SQL 数据库。此外，JSR-170 的导出和导入功能允许一个集成器在内容后端与 JCR 实现之间无缝地切换。

Apache Jackrabbit 2.10.1 发布