Sicherheitslücke bei serverseitigen Anfragen (SSRF) in BlazeDS

Adobe wurde über eine Sicherheitslücke (CVE-2015-5255) der serverseitigen Anfragen in BlazeDS benachrichtigt. Um die Sicherheitslücke in BlazeDS-Verteilungen nachträglich zu korrigieren, die in LiveCycle Data Services (LCDS) eingebettet sind, hat Adobe einen Patch zur Verfügung gestellt, der Fehlerbehebungen in der Datei flex-messaging-core.jar enthält.

Führen Sie die folgenden Schritte aus, um den Patch abzurufen und anzuwenden:

  1. Für die folgenden LCDS-Versionen sind Patches verfügbar. Sehen Sie sich das Adobe Security Bulletin für weitere Informationen und den Download des Patches für Ihre LCDS-Version an.

    • LCDS 3.0.0.354175
    • LCDS 3.1.0.354180
    • LCDS 4.5.1.354177
    • LCDS 4.6.2.354178
    • LCDS 4.7.0.354178
  2. Navigieren Sie zum Patch-Verzeichnis, und kopieren Sie die Datei flex-messaging-core.jar.

  3. Ersetzen Sie die Datei flex-messaging-core.jar in Ihrer LCDS-Anwendung durch die im Schritt 2 kopierte Datei.

  4. Bearbeiten Sie die Datei services-config.xml in Ihrer LCDS-Anwendung. Fügen Sie unter channels/channel-definition/properties/serialization die Eigenschaft allow-xml-doctype-declaration hinzu, und legen Sie dessen Wert als false fest. Beispiel:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-doctype-declaration>
                            false
                          </allow-xml-doctype-declaration>
Hinweis:

Wenn nach dem Anwenden des Patches folgender Fehler auftritt, bedeutet dies, dass der XML-Parser die Funktion „disallow-doctype-decl“ nicht unterstützt. In diesem Fall müssen Sie den XML-Parser auf einen aktualisieren, der sie unterstützt. Beispielsweise Xerces 2.9.1.

Fehler beim Deserialisieren des XML-Typs „jaxp_feature_not_supported“:
Funktion „http://apache.org/xml/features/disallow-doctype-decl“ wird nicht unterstützt

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online