A Adobe foi notificada de uma Vulnerabilidade de Entidade Externa XML (XXE) (CVE-2015-3269) no BlazeDS. Para corrigir a vulnerabilidade retrospectivamente nas distribuições do BlazeDS incorporadas no LiveCycle Data Services (LCDS), a Adobe lançou um patch que inclui correções no arquivo flex-messaging-core.jar.
Execute os seguintes passos para obter e aplicar o patch:
Patches estão disponíveis para as seguintes versões do LCDS. Consulte o Boletim de segurança da Adobe para obter mais informações e baixar o patch para sua versão LCDS.
Navegue até o diretório de patch e copie o arquivo flex-messaging-core.jar.
Substitua o arquivo flex-messaging-core.jar em seu aplicativo LCDS pelo arquivo copiado na etapa 2.
Edite o arquivo services-config.xml em seu aplicativo LCDS para especificar o valor da propriedade allow-xml-external-entity-expansion como falso. O valor padrão é verdadeiro.
Além disso, adicione a propriedade em channels/channel-definition/properties/serialization. Por exemplo:
<services-config>
|
---- <channels>
|
---- <channel-definition ...>
|
---- <properties>
|
---- <serialization>
|
---- <allow-xml-external-entity-expansion>
false
</allow-xml-external-entity-expansion>
O valor padrão verdadeiro mantém compatibilidade com versões anteriores e deve ser desativado para configurar o analisador XML para desabilitar a expansão de entidade, conforme explicado em Processamento de Entidade Externa XML (XXE).
Depois de aplicar o patch, se você encontrar o seguinte erro, isso significa que o analisador XML não oferece suporte ao recurso de entidades gerais externas. Portanto, você precisa atualizar seu analisador XML, como o Xerces 2.9.1.
Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported
