XML External Entity (XXE)-kwetsbaarheid in BlazeDS
| Ook van toepassing op AEM Forms op JEE, Digital Enterprise Platform |
Adobe is op de hoogte gesteld van een kwetsbaarheid voor XML External Entiteit (XXE) (CVE-2015-3269) in BlazeDS. Om de kwetsbaarheid retrospectief te verhelpen in BlazeDS-distributies die zijn ingesloten in LiveCycle Data Services (LCDS), heeft Adobe een patch uitgebracht die oplossingen bevat in het bestand flex-messaging-core.jar.
Voer de volgende stappen uit om de patch te verkrijgen en toe te passen:
-
Patches zijn beschikbaar voor de volgende LCDS-versies. Zie Bulletin van de Veiligheid van Adobe voor meer informatie en om het flard voor uw versie te downloaden LCDS.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
Navigeer naar de patchmap en kopieer het bestand flex-messaging-core.jar.
-
Vervang het bestand flex-messaging-core.jar in uw LCDS-toepassing door het bestand dat u in stap 2 hebt gekopieerd.
-
Bewerk het bestand services-config.xml in uw LCDS-toepassing om de waarde van de eigenschap allow-xml-external-entity-extension op te geven als false. De standaardwaarde is true.
Voeg ook de eigenschap toe bij channel/channel-definition/properties/serialization. Bijvoorbeeld:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE De standaardwaarde waar handhaaft achterwaartse verenigbaarheid en moet worden uitgezet om de parser van XML te vormen om entiteituitbreiding onbruikbaar te maken zoals die in de Verwerking van de Externe Entiteit van XML (XXE) wordt verklaard.
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
Juridische Mededelingen | Online Beleid van de Privacy