BlazeDS의 XML 외부 엔터티(XXE) 취약점
| JEE, Digital Enterprise Platform의 AEM Forms에도 적용됩니다. |
Adobe에서 BlazeDS의 XML 외부 엔티티(XXE) 취약성(CVE-2015-3269)에 대한 알림을 받았습니다. LCDS(LiveCycle Data Services)에 포함된 BlazeDS 배포의 취약성을 소급하여 해결하기 위해 Adobe에서 flex-messaging-core.jar 파일의 수정 사항이 포함된 패치를 발표했습니다.
다음 단계를 수행하여 패치를 가져오고 적용합니다.
-
다음 LCDS 버전에 대해 패치를 사용할 수 있습니다. 자세한 내용을 알고 LCDS 버전에 대한 패치를 다운로드하려면 Adobe 보안 게시판을 참조하세요.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
패치 디렉토리로 이동하고 flex-messaging-core.jar 파일을 복사합니다.
-
LCDS 응용 프로그램의 flex-messaging-core.jar 파일을 2단계에서 복사한 파일로 바꿉니다.
-
LCDS 응용 프로그램에서 services-config.xml 파일을 편집하여 allow-xml-external-entity-expansion 속성의 값을 false로 지정합니다. 기본값은 true입니다.
또한 channel/channel-definition/properties/serialization에서 속성을 추가합니다. 예:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE 기본값 true는 이전 버전과의 호환성을 유지하며 XML 외부 엔티티(XXE) 처리에 설명된 대로 엔티티 확장을 비활성화하도록 XML 파서를 구성하려면 해제해야 합니다.
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported