Apache Standard Taglib 1.2.3 发布
jopen 10年前
Jakarta Taglibs是为JSP定制标签库和相关的项目提供的一个开源仓库,如TagLibraryValidator类,和对页面生成工具的扩展来支持标签 库。
Jakarta Taglibs 也包括了对JSP Standard Tag Library (JSTL)的参考实现。
Apache Standard Taglib 1.2.3 发布,此版本支持 JSTL 1.2 版本,包括一些 bug 修复和改进。值得关注的新特性:
- 更新 -compat 库,使用 容器的 EL 实现 JSTL 1.0
- 更好的支持 classloading
- 改进 XML 处理
更多内容请看:https://www.apache.org/dist/tomcat/taglibs/taglibs-standard-1.2.3/README_bin.txt。
此版本还解决了一个安全问题:JSTL XML tags 中 XSL 扩展引发的 CVE-2015-0254 XXE 和 RCE,安全系数为:重要。此问题主要影响 Taglibs 1.2.1 还有现在已经不支持的 1.0.x 和 1.1.x 版本。
这个问题会导致一个应用使用 <x:parse> 或者 <x:transform> 标签来处理不信任的 XML 文档,一个请求可以利用外部条目来访问主机系统的资源,或者利用 XSLT 扩展来允许远程操作。
解决办法:升级到 Apache Standard Taglibs 1.2.3 及以上版本。
下载:http://tomcat.apache.org/download-taglibs.cgi。
来自:http://www.oschina.net/news/60036/taglibs-1-2-3