Vulnerabilidad de entidad externa XML (XXE) en BlazeDS
| También se aplica a AEM Forms en JEE, Digital Enterprise Platform |
Adobe ha recibido una notificación de una vulnerabilidad de entidad externa XML (XXE) (CVE-2015-3269) en BlazeDS. Para corregir la vulnerabilidad de forma retrospectiva en las distribuciones de BlazeDS incrustadas en LiveCycle Data Services (LCDS), Adobe ha lanzado un parche que incluye correcciones en el archivo flex-messaging-core.jar.
Siga estos pasos para obtener y aplicar el parche:
-
Hay parches disponibles para las siguientes versiones de LCDS. Consulte Boletín de seguridad de Adobe para obtener más información y descargar el parche para su versión de LCDS.
- LCD 3.0.0.354170
- LCD 3.1.0.354173
- LCD 4.5.1.354169
- LCD 4.6.2.354169
- LCD 4.7.0.354169
-
Vaya al directorio de parches y copie el archivo flex-messaging-core.jar.
-
Reemplace el archivo flex-messaging-core.jar en su aplicación LCDS con el archivo copiado en el paso 2.
-
Edite el archivo services-config.xml en la aplicación LCDS para especificar el valor de la propiedad allow-xml-external-entity-expand como false. El valor predeterminado es True.
Además, agregue la propiedad en channels/channel-definition/properties/serialization. Por ejemplo:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE El valor predeterminado true mantiene la compatibilidad con versiones anteriores y debe desactivarse para configurar el analizador de XML para deshabilitar la expansión de entidades, tal como se explica en Procesamiento de entidades externas XML (XXE).
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
Avisos legales | Política de privacidad en línea