亲爱的 Apache Solr 用户，Apache Solr 版本 4.8.0，4.8.1 和 4.9.0 都绑定了 Apache POI 3.10-beta2 版本，这个版本包含了两个漏洞：

= CVE-2014-3529: XML External Entity (XXE) problem in Apache POI's OpenXML parser =
Type: Information disclosure

= CVE-2014-3574: XML Entity Expansion (XEE) problem in Apache POI's OpenXML parser =
Type: Denial of service

Apache POI 今天发布了 bug 修复版本 3.10.1，已经修复了上述漏洞。

Apache Solr 更新 Apache POI 方法：

- 下载 Apache POI 3.10.1 二进制版本： 
- 解压文件
- 删除 "solr-4.X.X/contrib/extraction/lib" 文件夹的以下文档：
    # poi-3.10-beta2.jar
    # poi-ooxml-3.10-beta2.jar
    # poi-ooxml-schemas-3.10-beta2.jar
    # poi-scratchpad-3.10-beta2.jar
    # xmlbeans-2.3.0.jar
- 复制下列文件到 "solr-4.X.X/contrib/extraction/lib" 文件夹：
    # poi-3.10.1-20140818.jar
    # poi-ooxml-3.10.1-20140818.jar
    # poi-ooxml-schemas-3.10.1-20140818.jar
    # poi-scratchpad-3.10.1-20140818.jar
- 从 POI 的 "ooxml-lib/" 文件夹复制 "xmlbeans-2.6.0.jar" 到 "solr-4.X.X/contrib/extraction/lib" 文件夹
- 确认 "solr-4.X.X/contrib/extraction/lib" 不再含有任何 "3.10-beta2" 版本的文件
- 确认文件夹包含一个版本 2.6.0 的 xmlbeans JAR 文件

如果你只是想禁用微软 Office 文档提取，删除，不想替换他们。"Solr Cell" 会自动进行自动保护，并且禁用文档提取。

强烈建议更新 Apache POI 最新版本，更多内容请看这里。