A Adobe foi notificada sobre uma vulnerabilidade do SSRF (CVE-2015-5255) no BlazeDS. Para corrigir a vulnerabilidade retrospectivamente nas distribuições do BlazeDS incorporadas no LiveCycle Data Services (LCDS), a Adobe lançou um patch que inclui correções no arquivo flex-messaging-core.jar.

Execute os seguintes passos para obter e aplicar o patch:

  1. Patches estão disponíveis para as seguintes versões do LCDS. Veja Boletim de Segurança da Adobe para mais informações e para baixar o patch para sua versão LCDS.

    • LCDS 3.0.0.354175
    • LCDS 3.1.0.354180
    • LCDS 4.5.1.354177
    • LCDS 4.6.2.354178
    • LCDS 4.7.0.354178
  2. Navegue até o diretório do patch e copie o arquivo flex-messaging-core.jar.

  3. Substitua o arquivo flex-messaging-core.jar em seu aplicativo LCDS com o arquivo copiado na etapa 2.

  4. Edite o arquivo services-config.xml na sua aplicação LCDS. Adicione a propriedade allow-xml-doctype-declaration em channels/channel-definition/properties/serialization e defina seu valor para false. Por exemplo:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-doctype-declaration>
                            false
                          </allow-xml-doctype-declaration>

Observação:

Depois de aplicar o patch, se você encontrar o seguinte erro, isso significa que o analisador XML não suporta o recurso disallow-doctype-decl. Nesse caso, você precisaria atualizar seu analisador XML para um que o suporte. Por exemplo, Xerces 2.9.1.

Error deserializing XML type jaxp_feature_not_supported:
Feature "http://apache.org/xml/features/disallow-doctype-decl" is not supported

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online