Apache Standard Taglib 1.2.3 发布

Jakarta Taglibs是为JSP定制标签库和相关的项目提供的一个开源仓库，如TagLibraryValidator类，和对页面生成工具的扩展来支持标签 库。

Jakarta Taglibs 也包括了对JSP Standard Tag Library (JSTL)的参考实现。

Apache Standard Taglib 1.2.3 发布，此版本支持 JSTL 1.2 版本，包括一些 bug 修复和改进。值得关注的新特性：

- 更新 -compat 库，使用 容器的 EL 实现 JSTL 1.0 
- 更好的支持 classloading
- 改进 XML 处理 

更多内容请看：https://www.apache.org/dist/tomcat/taglibs/taglibs-standard-1.2.3/README_bin.txt。 

此版本还解决了一个安全问题：JSTL XML tags 中 XSL 扩展引发的 CVE-2015-0254 XXE 和 RCE，安全系数为：重要。此问题主要影响 Taglibs 1.2.1 还有现在已经不支持的 1.0.x 和 1.1.x 版本。

这个问题会导致一个应用使用 <x:parse> 或者 <x:transform> 标签来处理不信任的 XML 文档，一个请求可以利用外部条目来访问主机系统的资源，或者利用 XSLT 扩展来允许远程操作。

解决办法：升级到 Apache Standard Taglibs 1.2.3 及以上版本。

下载：http://tomcat.apache.org/download-taglibs.cgi。