亲爱的 Apache Solr 用户,Apache Solr 版本 4.8.0,4.8.1 和 4.9.0 都绑定了 Apache POI 3.10-beta2 版本,这个版本包含了两个漏洞:
= CVE-2014-3529: XML External Entity (XXE) problem in Apache POI's OpenXML parser =
Type: Information disclosure
= CVE-2014-3574: XML Entity Expansion (XEE) problem in Apache POI's OpenXML parser =
Type: Denial of service
Apache POI 今天发布了 bug 修复版本 3.10.1,已经修复了上述漏洞。
Apache Solr 更新 Apache POI 方法:
- 下载 Apache POI 3.10.1 二进制版本:
- 解压文件
- 删除 "solr-4.X.X/contrib/extraction/lib" 文件夹的以下文档:
# poi-3.10-beta2.jar
# poi-ooxml-3.10-beta2.jar
# poi-ooxml-schemas-3.10-beta2.jar
# poi-scratchpad-3.10-beta2.jar
# xmlbeans-2.3.0.jar
- 复制下列文件到 "solr-4.X.X/contrib/extraction/lib" 文件夹:
# poi-3.10.1-20140818.jar
# poi-ooxml-3.10.1-20140818.jar
# poi-ooxml-schemas-3.10.1-20140818.jar
# poi-scratchpad-3.10.1-20140818.jar
- 从 POI 的 "ooxml-lib/" 文件夹复制 "xmlbeans-2.6.0.jar" 到 "solr-4.X.X/contrib/extraction/lib" 文件夹
- 确认 "solr-4.X.X/contrib/extraction/lib" 不再含有任何 "3.10-beta2" 版本的文件
- 确认文件夹包含一个版本 2.6.0 的 xmlbeans JAR 文件
如果你只是想禁用微软 Office 文档提取,删除,不想替换他们。"Solr Cell" 会自动进行自动保护,并且禁用文档提取。
强烈建议更新 Apache POI 最新版本,更多内容请看这里。
