Apache Jackrabbit 2.8.1 发布
发布于 2015-06-05 00:30:44 | 186 次阅读 | 评论: 0 | 来源: 网友投递
Apache JackRabbit
Apache JackRabbit是一个开放源码的JSR-170 实现,实现了Level 2,但它还有许多扩展的功能。
Apache Jackrabbit 2.8.1 发布,此版本现已提供下载:http://jackrabbit.apache.org/downloads.html。
Apache Jackrabbit(TM) 2.8.1,完全兼容 Content Repository for Java(TM) Technology API 实现,Java Specification Request 283 (JSR 283) 指定的版本 2.0 (JCR 2.0)。
Apache Jackrabbit 2.8.1 包括 Jackrabbit 2.8 的 bug 修复和改进,是稳定版本,可以在生产环境使用。
Security advisory (JCR-3883 / CVE-2015-1833)
--------------------------------------------
此版本包括 jackrabbit-webdav 模块重要的安全问题修复
当处理一个包含 XML 的 WebDAV 请求 body 的时候,XML 解析器可以从网络资源访问主机读取内容。通过 URI 模式 "http(s)" 或 "file" 标识的。根据 WebDAV 的请求,这不仅能用来追踪内部网络请求,也可以在请求中插入内容,可能会暴露给攻击者或其他人。
请尽快升级 jackrabbit-webdav 模块,或者禁止 WebDAV 访问。
相比 Jackrabbit 2.8.0 的改进
------------------------------
改进
[JCR-3777] Add simple allow/deny/clear convenience methods to
AccessControlUtils
[JCR-3782] Backport OAK-1612, OAK-1615, OAK-1616
[JCR-3810] StreamWrapper can attempt to reset other types of InputStreams
[JCR-3818] Use SimpleFSDirectory by default
[JCR-3826] AbstractPrincipalProvider cachesize is not configurable
Bug 修复
[JCR-3783] Deadlock due to IOException in
WorkspaceUpdateChannel.updatePrepared()
[JCR-3784] ReplacePropertyWhileOthersReadTest fails when run with
ConcurrentTestSuite
[JCR-3789] AccessControlUtils.clear should not retrieve applicable
policies
[JCR-3790] timing related TokenProviderTest failures
[JCR-3796] TokenProvider.createToken is case sensitive
[JCR-3798] NPE while building path in lucene index consistency checker
[JCR-3809] ConnectionHelper swallows exception when it fails to reset
binary streams after a failed SQL statement execution
[JCR-3811] AppendRecord should allow reattempting database insertions
of journal records should the initial attempt fail
[JCR-3814] IllegalStateException in LockManager#unlock
[JCR-3821] SeededSecureRandom thread can prevent Jackrabbit from
shutting down
[JCR-3840] NodeTypeDefDiff does not take same-name child type
definitions into account
[JCR-3850] RepositoryStartupServlet constructs FileStore incorrectly
[JCR-3871] POI Vulnerabilities
[JCR-3883] Jackrabbit WebDAV bundle susceptible to XXE/XEE attack
(CVE-2015-1833)
详细列表请看:https://issues.apache.org/jira/browse/JCR
Apache JackRabbit是一个开放源码的JSR-170 实现,实现了Level 2,但它还有许多扩展的功能。
随着内容管理应用程序的日益普及,对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是,它不绑定到任何特定的底层架构。例如,JSR-170 实现的后端数据存储可以是文件系统、WebDAV 仓库、支持 XML 的系统,甚至还可以是 SQL 数据库。此外,JSR-170 的导出和导入功能允许一个集成器在内容后端与 JCR 实现之间无缝地切换。
历史版本 :
Apache Jackrabbit Oak 1.0.41 发布,内容储存库
Apache Jackrabbit Oak 1.8.0 发布,内容资源库
Apache Jackrabbit Oak 1.7.14 发布,内容资源库
Apache Jackrabbit 2.15.8 发布,内容储存库
Apache Jackrabbit Oak 1.7.11 发布,内容资源库
Apache Jackrabbit 2.14.4 发布,内容资源库
Apache Jackrabbit Oak 1.7.10 发布,内容资源库
Apache Jackrabbit Oak 1.7.7 发布,内容资源库
Apache Jackrabbit 2.14.3 发布,内容资源库
Apache Jackrabbit Oak 1.6.5 发布,内容资源库
Apache Jackrabbit Oak 1.0.39 发布,内容资源库
Apache Jackrabbit Oak 1.2.27 稳定版发布