Apache Standard Taglib 1.2.3 發布

Jakarta Taglibs是為JSP定制標簽庫和相關的項目提供的一個開源倉庫，如TagLibraryValidator類，和對頁面生成工具的擴展來支持標簽 庫。

Jakarta Taglibs 也包括了對JSP Standard Tag Library (JSTL)的參考實現。

Apache Standard Taglib 1.2.3 發布，此版本支持 JSTL 1.2 版本，包括一些 bug 修復和改進。值得關注的新特性：

- 更新 -compat 庫，使用 容器的 EL 實現 JSTL 1.0  <br />

• 更好的支持 classloading
  
• 改進 XML 處理 </p>

  更多內容請看：https://www.apache.org/dist/tomcat/taglibs/taglibs-standard-1.2.3/README_bin.txt。 

  此版本還解決了一個安全問題：JSTL XML tags 中 XSL 擴展引發的 CVE-2015-0254 XXE 和 RCE，安全系數為：重要。此問題主要影響 Taglibs 1.2.1 還有現在已經不支持的 1.0.x 和 1.1.x 版本。
  
  這個問題會導致一個應用使用 <x:parse> 或者 <x:transform> 標簽來處理不信任的 XML 文檔，一個請求可以利用外部條目來訪問主機系統的資源，或者利用 XSLT 擴展來允許遠程操作。

  解決辦法：升級到 Apache Standard Taglibs 1.2.3 及以上版本。

  下載：http://tomcat.apache.org/download-taglibs.cgi。

  來自：http://www.oschina.net/news/60036/taglibs-1-2-3