Le patch sono disponibili per le seguenti versioni LCDS. Vedi Adobe Security Bulletin per ulteriori informazioni e per scaricare la patch per la versione LCDS.
- LCDS 3.0.0.354175
- LCDS 3.1.0.354180
- LCDS 4.5.1,354177
- LCDS 4.6.2.354178
- LCDS 4.7.0.354178
Ultimo aggiornamento il
3 mag 2021
|
Si applica anche a AEM Forms on JEE, Digital Enterprise Platform
Adobe è stata informata di una vulnerabilità SSRF (CVE-2015-5255) in BlazeDS. Per correggere la vulnerabilità retrospettivamente nelle versioni BlazeDS incorporate nei LiveCycle Data Services (LCDS), Adobe ha rilasciato una patch che include correzioni nel file flex-messaging-core.jar.
Esegui i seguenti passaggi per ottenere e applicare la patch:
-
-
Passa alla directory delle patch e copia il file flex-messaging-core.jar.
-
Sostituisci il file flex-messaging-core.jar nell'applicazione LCDS con il file copiato al punto 2.
-
Modifica il file service-config.xml nell'applicazione LCDS. Aggiungi la proprietà allow-xml-doctype-declaration in channels/channel-definition/properties/serialization e imposta il suo valore su falso. Ad esempio:
<services-config> | ---- <channels> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-doctype-declaration> false </allow-xml-doctype-declaration>
Nota:
Dopo aver applicato la patch, se incontri il seguente errore, significa che il parser XML non supporta la funzione disallow-doctype-decl. In questo caso, è necessario aggiornare il parser XML ad uno che lo supporti. Ad esempio, Xerces 2.9.1.
Error deserializing XML type jaxp_feature_not_supported:
Feature "http://apache.org/xml/features/disallow-doctype-decl" is not supported
