亲爱的 Apache Solr 用户,Apache Solr 版本 4.8.0,4.8.1 和 4.9.0 都绑定了 Apache POI 3.10-beta2 版本,这个版本包含了两个漏洞: = CVE-2014-3529: XML External Entity (XXE) problem in Apache POI's OpenXML parser = Type: Information disclosure = CVE-2014-3574: XML Entity Expansion (XEE) problem in Apache POI's OpenXML parser = Type: Denial of service Apache POI 今天发布了 bug 修复版本 3.10.1,已经修复了上述漏洞。 Apache Solr 更新 Apache POI 方法: - 下载 Apache POI 3.10.1 二进制版本: - 解压文件 - 删除 "solr-4.X.X/contrib/extraction/lib" 文件夹的以下文档: # poi-3.10-beta2.jar # poi-ooxml-3.10-beta2.jar # poi-ooxml-schemas-3.10-beta2.jar # poi-scratchpad-3.10-beta2.jar # xmlbeans-2.3.0.jar - 复制下列文件到 "solr-4.X.X/contrib/extraction/lib" 文件夹: # poi-3.10.1-20140818.jar # poi-ooxml-3.10.1-20140818.jar # poi-ooxml-schemas-3.10.1-20140818.jar # poi-scratchpad-3.10.1-20140818.jar - 从 POI 的 "ooxml-lib/" 文件夹复制 "xmlbeans-2.6.0.jar" 到 "solr-4.X.X/contrib/extraction/lib" 文件夹 - 确认 "solr-4.X.X/contrib/extraction/lib" 不再含有任何 "3.10-beta2" 版本的文件 - 确认文件夹包含一个版本 2.6.0 的 xmlbeans JAR 文件 如果你只是想禁用微软 Office 文档提取,删除,不想替换他们。"Solr Cell" 会自动进行自动保护,并且禁用文档提取。 强烈建议更新 Apache POI 最新版本,更多内容请看这里。 |
