转载

Apache Jackrabbit 2.8.1 发布

6月14日上海 OSC 源创会开始报名，送机械键盘和开源无码内裤

Apache Jackrabbit 2.8.1 发布，此版本现已提供下载： http://jackrabbit.apache.org/downloads.html 。

Apache Jackrabbit(TM) 2.8.1，完全兼容 Content Repository for Java(TM) Technology API 实现，Java Specification Request 283 (JSR 283) 指定的版本 2.0 (JCR 2.0)。

Apache Jackrabbit 2.8.1 包括 Jackrabbit 2.8 的 bug 修复和改进，是稳定版本，可以在生产环境使用。

Security advisory (JCR-3883 / CVE-2015-1833)

--------------------------------------------

此版本包括 jackrabbit-webdav 模块重要的安全问题修复

当处理一个包含 XML 的 WebDAV 请求 body 的时候，XML 解析器可以从网络资源访问主机读取内容。通过 URI 模式 "http(s)" 或 "file" 标识的。根据 WebDAV 的请求，这不仅能用来追踪内部网络请求，也可以在请求中插入内容，可能会暴露给攻击者或其他人。

请尽快升级 jackrabbit-webdav 模块，或者禁止 WebDAV 访问。

相比 Jackrabbit 2.8.0 的改进

------------------------------

改进

[JCR-3777] Add simple allow/deny/clear convenience methods to

AccessControlUtils

[JCR-3782] Backport OAK-1612, OAK-1615, OAK-1616

[JCR-3810] StreamWrapper can attempt to reset other types of InputStreams

[JCR-3818] Use SimpleFSDirectory by default

[JCR-3826] AbstractPrincipalProvider cachesize is not configurable

Bug 修复

[JCR-3783] Deadlock due to IOException in

WorkspaceUpdateChannel.updatePrepared()

[JCR-3784] ReplacePropertyWhileOthersReadTest fails when run with

ConcurrentTestSuite

[JCR-3789] AccessControlUtils.clear should not retrieve applicable

policies

[JCR-3790] timing related TokenProviderTest failures

[JCR-3796] TokenProvider.createToken is case sensitive

[JCR-3798] NPE while building path in lucene index consistency checker

[JCR-3809] ConnectionHelper swallows exception when it fails to reset

binary streams after a failed SQL statement execution

[JCR-3811] AppendRecord should allow reattempting database insertions

of journal records should the initial attempt fail

[JCR-3814] IllegalStateException in LockManager#unlock

[JCR-3821] SeededSecureRandom thread can prevent Jackrabbit from

shutting down

[JCR-3840] NodeTypeDefDiff does not take same-name child type

definitions into account

[JCR-3850] RepositoryStartupServlet constructs FileStore incorrectly

[JCR-3871] POI Vulnerabilities

[JCR-3883] Jackrabbit WebDAV bundle susceptible to XXE/XEE attack

(CVE-2015-1833)

详细列表请看： https://issues.apache.org/jira/browse/JCR

Apache Jackrabbit 是由 Apache Foundation 提供的 JSR-170 的开放源码实现..

随着内容管理应用程序的日益普及，对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是，它不绑定到任何特定的底层架构。例如，JSR-170 实现的后端数据存储可以是文件系统、WebDAV 仓库、支持 XML 的系统，甚至还可以是 SQL 数据库。此外，JSR-170 的导出和导入功能允许一个集成器在内容后端与 JCR 实现之间无缝地切换。

Apache Jackrabbit 2.8.1 发布