Für die folgenden LCDS-Versionen sind Patches verfügbar. Weitere Informationen und den Patch für Ihre LCDS-Version finden Sie unter Adobe Sicherheitsbulletin.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
Zuletzt aktualisiert am
1. Mai 2021
|
Gilt auch für AEM Forms on JEE, Digital Enterprise Platform
Adobe wurde über eine XML External Entity (XXE)-Sicherheitslücke (CVE-2015-3269) in BlazeDS informiert. Um die Sicherheitslücke in BlazeDS-Distributionen, die in LiveCycle Datadiensten (LCDS) eingebettet sind, nachträglich zu beheben, hat Adobe einen Patch veröffentlicht, der Korrekturen in der Datei flex-messaging-core.jar enthält.
Führen Sie die folgenden Schritte aus, um den Patch abzurufen und anzuwenden:
-
-
Navigieren Sie zum Patch-Verzeichnis, und kopieren Sie die Datei flex-messaging-core.jar.
-
Ersetzen Sie die Datei flex-messaging-core.jar in Ihrer LCDS-Anwendung durch die in Schritt 2 kopierte Datei.
-
Bearbeiten Sie die Datei services-config.xml in Ihrer LCDS-Anwendung, um den Wert der Eigenschaft allow-xml-external-entity-expansion als false festzulegen. Der Standardwert ist false.
Fügen Sie die Eigenschaft außerdem an „channels/channel-definition/properties/serialization“ hinzu. Beispiel:
<services-config> | ---- <channels> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>Hinweis:Der standardmäßige Wert true behält Rückwärtskompatibilität und muss ausgeschaltet werden, damit der XML-Parser so konfiguriert wird, dass er den Organisationsaufbau deaktiviert, was in XML External Entity (XXE) Processing näher beschrieben wird.
Hinweis:
Wenn nach der Anwendung des Patches der folgende Fehler auftritt, bedeutet dies, dass Ihr XML-Parser die Funktion „external-general-entities“ nicht unterstützt. Daher müssen Sie Ihren XML-Parser beispielsweise auf Xerces 2.9.1 aktualisieren.
Fehler beim Deserialisieren des XML-Typs jaxp_feature_not_supported: Feature „http://xml.org/sax/features/external-general-entities“ wird nicht unterstützt
