BlazeDS での XML 外部エンティティ(XXE)の脆弱性
| AEM Forms on JEE、Digital Enterprise Platform にも適用されます |
BlazeDS での XML 外部エンティティ(XXE)の脆弱性(CVE-2015-3269)がアドビに通知されました。LiveCycle Data Services(LCDS)に埋め込まれた BlazeDS ディストリビューションの脆弱性を遡及的に修正するために、アドビでは flex-messaging-core.jar ファイルの修正を含むパッチをリリースしました。
パッチを取得して適用するには、次の手順を実行します。
-
パッチは、次の LCDS バージョンで使用可能です。 詳細情報および LCDS バージョン用のパッチのダウンロードについて詳しくは、Adobe セキュリティ速報を参照してください。
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
パッチディレクトリに移動し、flex-messaging-core.jar ファイルをコピーします。
-
LCDS アプリケーションの flex-messaging-core.jar ファイルを、手順 2 でコピーしたファイルに置き換えます。
-
LCDS アプリケーションの services-config.xml ファイルを編集して、allow-xml-external-entity-expansion プロパティの値を false に指定します。デフォルト値は true です。
また、channels/channel-definition/properties/serialization にプロパティを追加します。例:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE デフォルト値 true は後方互換性を維持し、XML 外部エンティティ(XXE)処理の説明に従って、XML パーサーを設定してエンティティ拡張を無効にするには、オフにする必要があります。
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported