Vulnérabilité d’entité externe XML (XXE) dans BlazeDS
| S’applique également à AEM Forms sur JEE, Digital Enterprise Platform |
Adobe a été averti d’une vulnérabilité d’entité externe XML (XXE) (CVE-2015-3269) dans BlazeDS. Pour corriger rétrospectivement la vulnérabilité dans les distributions BlazeDS intégrées à LiveCycle Data Services (LCDS), Adobe a publié un correctif qui inclut notamment des corrections dans le fichier flex-messaging-core.jar.
Procédez comme suit pour obtenir et appliquer le correctif :
-
Des correctifs sont disponibles pour les versions de LCDS suivantes. Consultez le Bulletin de sécurité Adobe pour plus d’informations et pour télécharger le correctif correspondant à votre version de LCDS.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
Accédez au répertoire des correctifs et copiez le fichier flex-messaging-core.jar.
-
Remplacez le fichier flex-messaging-core.jar dans votre application LCDS par le fichier copié lors de l’étape 2.
-
Modifiez le fichier services-config.xml dans votre application LCDS pour définir la valeur de la propriété allow-xml-external-entity-expansion sur false. La valeur par défaut est true.
Ajoutez également la propriété à l’emplacement channels/channel-definition/properties/serialization. Par exemple :
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE La valeur true par défaut conserve la rétrocompatibilité et doit être désactivée pour configurer l’analyseur XML afin de désactiver l’extension d’entité, comme expliqué dans le Traitement d’une entité externe XML (XXE).
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
Mentions légales | Politique de confidentialité en ligne