Vulnerabilidade de entidade externa XML (XXE) no BlazeDS
| Também se aplica ao AEM Forms no JEE, Digital Enterprise Platform |
A Adobe foi notificada de uma vulnerabilidade de Entidade externa XML (XXE) (CVE-2015-3269) no BlazeDS. Para corrigir a vulnerabilidade retrospectivamente nas distribuições do BlazeDS incorporadas ao LiveCycle Data Services (LCDS), a Adobe lançou um patch que inclui correções no arquivo flex-messaging-core.jar.
Execute as seguintes etapas para obter e aplicar o patch:
-
Os patches estão disponíveis para as seguintes versões do LCDS. Consulte o Boletim de Segurança do Adobe para obter mais informações e baixar o patch para a sua versão LCDS.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
Navegue até o diretório de patch e copie o arquivo flex-messaging-core.jar.
-
Substitua o arquivo flex-messaging-core.jar em seu aplicativo LCDS pelo arquivo copiado na etapa 2.
-
Edite o arquivo services-config.xml no aplicativo LCDS para especificar o valor da propriedade allow-xml-external-entity-expansion como false. O valor padrão é true.
Além disso, adicione a propriedade em channels/channel-definition/properties/serialization. Por exemplo:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE O valor padrão true mantém compatibilidade com versões anteriores e deve ser desativado para configurar o analisador XML para desativar a expansão de entidade, conforme explicado em Processamento de entidade externa XML (XXE).
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
Avisos legais | Política de Privacidade Online