Sårbarhet i extern XML-enhet (XXE) i BlazeDS
| Gäller även AEM Forms på JEE, Digital Enterprise Platform |
Adobe har fått ett meddelande om en extern XML-enhet (XXE) (CVE-2015-3269) i BlazeDS. För att åtgärda problemet retroaktivt i BlazeDS-distributioner som är inbäddade i LiveCycle Data Services (LCDS) har Adobe släppt en patch som innehåller korrigeringar i filen flex-messaging-core.jar.
Utför följande steg för att hämta och tillämpa korrigeringen:
-
Patchar finns för följande LCDS-versioner. Se Adobe säkerhetsbulletin för mer information och för att hämta korrigeringsfilen för din LCDS-version.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
Gå till patch-katalogen och kopiera filen flex-messaging-core.jar.
-
Ersätt filen flex-messaging-core.jar i LCDS-programmet med filen kopierad i steg 2.
-
Redigera filen services-config.xml i LCDS-programmet och ange värdet för egenskapen allow-xml-external-entity-expansion som false. Standardvärdet är true.
Lägg också till egenskapen vid channel/channel-definition/properties/serialization. Till exempel:
code language-none |<services-config..> | ---- <channels..> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>note note NOTE Standardvärdet true bibehåller bakåtkompatibilitet och måste vara inaktiverat för att XML-parsern ska kunna konfigureras för att inaktivera entitetsexpansion enligt beskrivningen i bearbetning av XML-externa entiteter (XXE).
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
Juridiska meddelanden | Integritetspolicy