6月14日上海 OSC 源创会开始报名,送机械键盘和开源无码内裤
Apache Jackrabbit 2.8.1 发布,此版本现已提供下载: http://jackrabbit.apache.org/downloads.html 。
Apache Jackrabbit(TM) 2.8.1,完全兼容 Content Repository for Java(TM) Technology API 实现,Java Specification Request 283 (JSR 283) 指定的版本 2.0 (JCR 2.0)。
Apache Jackrabbit 2.8.1 包括 Jackrabbit 2.8 的 bug 修复和改进,是稳定版本,可以在生产环境使用。
Security advisory (JCR-3883 / CVE-2015-1833)
--------------------------------------------
此版本包括 jackrabbit-webdav 模块重要的安全问题修复
当处理一个包含 XML 的 WebDAV 请求 body 的时候,XML 解析器可以从网络资源访问主机读取内容。通过 URI 模式 "http(s)" 或 "file" 标识的。根据 WebDAV 的请求,这不仅能用来追踪内部网络请求,也可以在请求中插入内容,可能会暴露给攻击者或其他人。
请尽快升级 jackrabbit-webdav 模块,或者禁止 WebDAV 访问。
相比 Jackrabbit 2.8.0 的改进
------------------------------
改进
[JCR-3777] Add simple allow/deny/clear convenience methods to
AccessControlUtils
[JCR-3782] Backport OAK-1612, OAK-1615, OAK-1616
[JCR-3810] StreamWrapper can attempt to reset other types of InputStreams
[JCR-3818] Use SimpleFSDirectory by default
[JCR-3826] AbstractPrincipalProvider cachesize is not configurable
Bug 修复
[JCR-3783] Deadlock due to IOException in
WorkspaceUpdateChannel.updatePrepared()
[JCR-3784] ReplacePropertyWhileOthersReadTest fails when run with
ConcurrentTestSuite
[JCR-3789] AccessControlUtils.clear should not retrieve applicable
policies
[JCR-3790] timing related TokenProviderTest failures
[JCR-3796] TokenProvider.createToken is case sensitive
[JCR-3798] NPE while building path in lucene index consistency checker
[JCR-3809] ConnectionHelper swallows exception when it fails to reset
binary streams after a failed SQL statement execution
[JCR-3811] AppendRecord should allow reattempting database insertions
of journal records should the initial attempt fail
[JCR-3814] IllegalStateException in LockManager#unlock
[JCR-3821] SeededSecureRandom thread can prevent Jackrabbit from
shutting down
[JCR-3840] NodeTypeDefDiff does not take same-name child type
definitions into account
[JCR-3850] RepositoryStartupServlet constructs FileStore incorrectly
[JCR-3871] POI Vulnerabilities
[JCR-3883] Jackrabbit WebDAV bundle susceptible to XXE/XEE attack
(CVE-2015-1833)
详细列表请看: https://issues.apache.org/jira/browse/JCR
Apache Jackrabbit 是由 Apache Foundation 提供的 JSR-170 的开放源码实现..
随着内容管理应用程序的日益普及,对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是,它不绑定到任何特定的底层架构。例如,JSR-170 实现的后端数据存储可以是文件系统、WebDAV 仓库、支持 XML 的系统,甚至还可以是 SQL 数据库。此外,JSR-170 的导出和导入功能允许一个集成器在内容后端与 JCR 实现之间无缝地切换。