2

目前我正在使用 Birt Report 运行时版本 4.4.2,它在内部使用 iText 版本 - 2.1.7 我有 Birt 报告 .rptdesign 文件作为模板,并使用 Birt Report 运行时引擎动态创建/渲染 pdf,其中数据来自数据库,pdf 将在网络浏览器上呈现。

根据以下链接,iText 2.1.7 版本中存在 XXE 漏洞

https://www.compass-security.com/fileadmin/Datein/Research/Advisories/CSNC-2017-017_itext_xml_external_entity_attack.txt

为了解决上述问题,我计划用 OpenPDF jar 替换 iText 2.1.7 jar 版本。但看起来 OpenPDF 也使用了 javax.xml.parsers.DocumentBuilderFactory 类,这反过来又会给 XXE 漏洞

任何人都可以修复 openPDF 源代码中的这个漏洞并发布新版本吗?

以下是 Apache PDF 框已修复 XXE 漏洞的有用链接

https://github.com/apache/pdfbox/commit/be36ef01842885b556a4e7b40b5e2e8e7b1d2816#diff-7865264c984db3c9a6ac8471b0a4d414

4

1 回答 1

1

这已在 OpenPDF 1.0.5 中修复。因此,我建议使用 iText 2.1.7 的人升级到最新版本的 OpenPDF。

https://github.com/LibrePDF/OpenPDF/releases/tag/1.0.5

于 2020-02-09T05:52:05.263 回答