Adobe a été informé de la vulnérabilité d’une entité externe XML (XXE) (CVE -2015-3269) dans le BlazeDS. Pour corriger la vulnérabilité de manière rétrospective dans les distributions BlazeDS intégrées à LiveCycle Data Services (LCDS), Adobe a publié un correctif qui inclut des correctifs dans le fichier flex-messaging-core.jar.
Effectuez les étapes suivantes pour obtenir et appliquer le correctif :
Des correctifs sont disponibles pour les versions LCDS suivantes. Voir Bulletin de sécurité Adobe pour plus d’informations et pour télécharger le correctif pour votre version LCDS.
Accédez au répertoire des correctifs et copiez le fichier flex-messaging-core.jar.
Remplacez le fichier flex-messaging-core.jar de votre application LCDS par le fichier copié à l’étape 2.
Editez le fichier services-config.xml dans votre application LCDS pour spécifier la valeur de la propriété allow-xml-external-entity-expansion comme false. La valeur par défaut est true.
Ajoutez également la propriété sur channels / channel-definition / properties / serialization. Par exemple :
<services-config>
|
---- <channels>
|
---- <channel-definition ...>
|
---- <properties>
|
---- <serialization>
|
---- <allow-xml-external-entity-expansion>
false
</allow-xml-external-entity-expansion>
La valeur par défaut true maintient la compatibilité ascendante et doit être désactivée pour configurer l’analyseur XML afin de désactiver l’extension d’entité, comme expliqué dans Traitement des entités XML externes.
Après avoir appliqué le correctif, si vous rencontrez l’erreur suivante, cela implique que votre analyseur XML ne prend pas en charge la fonctionnalité d’entités générales externes. Par conséquent, vous devez mettre à jour votre analyseur XML, tel que Xerces 2.9.1.
Erreur lors de la désérialisation du type XML type jaxp_feature_not_supported : Feature "http://xml.org/sax/features/external-general-entities" is not supported
