Adobe a été informé d’une vulnérabilité SSRF (CVE-2015-5255) dans BlazeDS. Pour corriger la vulnérabilité de manière rétrospective dans les distributions BlazeDS intégrées à LiveCycle Data Services (LCDS), Adobe a publié un correctif qui inclut des correctifs dans le fichier flex-messaging-core.jar.
Effectuez les étapes suivantes pour obtenir et appliquer le correctif :
Des correctifs sont disponibles pour les versions LCDS suivantes. Voir Adobe Security Bulletin pour plus d’informations et pour télécharger le correctif pour votre version LCDS.
Accédez au répertoire des correctifs et copiez le fichier flex-messaging-core.jar.
Remplacez le fichier flex-messaging-core.jar dans votre application LCDS par le fichier copié à l’étape 2.
Editez le fichier services-config.xml dans votre application LCDS. Ajoutez la propriété allow-xml-doctype-declaration sous channels/channel-definition/properties/serialization et définissez sa valeur sur false. Par exemple :
<services-config>
|
---- <channels>
|
---- <channel-definition ...>
|
---- <properties>
|
---- <serialization>
|
---- <allow-xml-doctype-declaration>
false
</allow-xml-doctype-declaration>
Après avoir appliqué le correctif, si vous rencontrez l’erreur suivante, cela signifie que votre analyseur XML ne prend pas en charge la fonctionnalité disallow-doctype-decl. Dans ce cas, vous devrez mettre à jour votre analyseur XML pour celui qui le prend en charge. Par exemple, Xerces 2.9.1.
Erreur lors de la désérialisation du type XML type jaxp_feature_not_supported :
Feature "http://apache.org/xml/features/disallow-doctype-decl" is not supported
