Vulnerabilità XXE (XML External Entity) in BlazeDS
| Applicabile anche ad AEM Forms su JEE, Digital Enterprise Platform |
Adobe è stata informata di una vulnerabilità di entità esterna XML (XXE) (CVE-2015-3269) in BlazeDS. Per correggere la vulnerabilità retroattivamente nelle distribuzioni BlazeDS incorporate in LiveCycle Data Services (LCDS), Adobe ha rilasciato una patch che include correzioni nel file flex-messaging-core.jar.
Per ottenere e applicare la patch, effettua le seguenti operazioni:
-
Le patch sono disponibili per le seguenti versioni di LCDS. Per ulteriori informazioni e per scaricare la patch per la versione LCDS, consulta il Bollettino sulla sicurezza di Adobe.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
Passa alla directory delle patch e copia il file flex-messaging-core.jar.
-
Sostituisci il file flex-messaging-core.jar nell'applicazione LCDS con il file copiato nel passaggio 2.
-
Modificare il file services-config.xml nell'applicazione LCDS per specificare il valore della proprietà allow-xml-external-entity-expand come false. Il valore predefinito è true.
Aggiungi inoltre la proprietà in canali/channel-definition/properties/serialization. Ad esempio:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE Il valore predefinito true mantiene la compatibilità con le versioni precedenti e deve essere disattivato per configurare il parser XML in modo da disabilitare l’espansione delle entità come spiegato in Elaborazione entità esterna XML (XXE).
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
Note legali | Informativa sulla privacy online