Adobe wurde über eine Sicherheitslücke (CVE-2015-5255) der serverseitigen Anfragen in BlazeDS benachrichtigt. Um die Sicherheitslücke in BlazeDS-Verteilungen nachträglich zu korrigieren, die in LiveCycle Data Services (LCDS) eingebettet sind, hat Adobe einen Patch zur Verfügung gestellt, der Fehlerbehebungen in der Datei flex-messaging-core.jar enthält.
Führen Sie die folgenden Schritte aus, um den Patch abzurufen und anzuwenden:
Für die folgenden LCDS-Versionen sind Patches verfügbar. Sehen Sie sich das Adobe Security Bulletin für weitere Informationen und den Download des Patches für Ihre LCDS-Version an.
Navigieren Sie zum Patch-Verzeichnis, und kopieren Sie die Datei flex-messaging-core.jar.
Ersetzen Sie die Datei flex-messaging-core.jar in Ihrer LCDS-Anwendung durch die im Schritt 2 kopierte Datei.
Bearbeiten Sie die Datei services-config.xml in Ihrer LCDS-Anwendung. Fügen Sie unter channels/channel-definition/properties/serialization die Eigenschaft allow-xml-doctype-declaration hinzu, und legen Sie dessen Wert als false fest. Beispiel:
<services-config>
|
---- <channels>
|
---- <channel-definition ...>
|
---- <properties>
|
---- <serialization>
|
---- <allow-xml-doctype-declaration>
false
</allow-xml-doctype-declaration>
Wenn nach dem Anwenden des Patches folgender Fehler auftritt, bedeutet dies, dass der XML-Parser die Funktion „disallow-doctype-decl“ nicht unterstützt. In diesem Fall müssen Sie den XML-Parser auf einen aktualisieren, der sie unterstützt. Beispielsweise Xerces 2.9.1.
Fehler beim Deserialisieren des XML-Typs „jaxp_feature_not_supported“:
Funktion „http://apache.org/xml/features/disallow-doctype-decl“ wird nicht unterstützt
