Sicherheitslücke von XML External Entity (XXE) in BlazeDS
| Gilt auch für AEM Forms auf JEE, Digital Enterprise Platform |
Adobe wurde über eine XML External Entity (XXE)-Sicherheitslücke (CVE-2015-3269) in BlazeDS informiert. Um die Sicherheitslücke in BlazeDS-Distributionen, die in LiveCycle Data Services (LCDS) eingebettet sind, nachträglich zu beheben, hat Adobe einen Patch veröffentlicht, der Fehlerbehebungen in der Datei „flex-messaging-core.jar“ enthält.
Führen Sie die folgenden Schritte aus, um den Patch abzurufen und anzuwenden:
-
Patches sind für die folgenden LCDS-Versionen verfügbar. Weitere Informationen und den Patch für Ihre LCDS-Version finden Sie im Adobe-Sicherheitsbulletin.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
Navigieren Sie zum Patch-Verzeichnis und kopieren Sie die Datei „flex-messaging-core.jar“.
-
Ersetzen Sie die Datei „flex-messaging-core.jar“ in Ihrer LCDS-Anwendung durch die in Schritt 2 kopierte Datei.
-
Bearbeiten Sie die Datei „services-config.xml“ in Ihrem LCDS-Programm, um den Wert der Eigenschaft „allow-xml-external-entity-expansion“ als „false“ anzugeben. Der Standardwert lautet „wahr“.
Fügen Sie außerdem die Eigenschaft unter „channels/channel-definition/properties/serialization“ hinzu. Beispiel:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE Der Standardwert „true“ sorgt für Abwärtskompatibilität und muss deaktiviert werden, um den XML-Parser so zu konfigurieren, dass die Entitätserweiterung deaktiviert wird, wie in „XML External Entity(XE)-Processing“ beschrieben.
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
Rechtliche Hinweise | Online-Datenschutzrichtlinie