Adobe wurde über eine Sicherheitslücke (CVE-2015-5255) der serverseitigen Anfragen in BlazeDS benachrichtigt. Um die Sicherheitslücke in BlazeDS-Verteilungen nachträglich zu korrigieren, die in LiveCycle Data Services (LCDS) eingebettet sind, hat Adobe einen Patch zur Verfügung gestellt, der Fehlerbehebungen in der Datei flex-messaging-core.jar enthält.

Führen Sie die folgenden Schritte aus, um den Patch abzurufen und anzuwenden:

  1. Für die folgenden LCDS-Versionen sind Patches verfügbar. Sehen Sie sich das Adobe Security Bulletin für weitere Informationen und den Download des Patches für Ihre LCDS-Version an.

    • LCDS 3.0.0.354175
    • LCDS 3.1.0.354180
    • LCDS 4.5.1.354177
    • LCDS 4.6.2.354178
    • LCDS 4.7.0.354178
  2. Navigieren Sie zum Patch-Verzeichnis, und kopieren Sie die Datei flex-messaging-core.jar.

  3. Ersetzen Sie die Datei flex-messaging-core.jar in Ihrer LCDS-Anwendung durch die im Schritt 2 kopierte Datei.

  4. Bearbeiten Sie die Datei services-config.xml in Ihrer LCDS-Anwendung. Fügen Sie unter channels/channel-definition/properties/serialization die Eigenschaft allow-xml-doctype-declaration hinzu, und legen Sie dessen Wert als false fest. Beispiel:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-doctype-declaration>
                            false
                          </allow-xml-doctype-declaration>

Hinweis:

Wenn nach dem Anwenden des Patches folgender Fehler auftritt, bedeutet dies, dass der XML-Parser die Funktion „disallow-doctype-decl“ nicht unterstützt. In diesem Fall müssen Sie den XML-Parser auf einen aktualisieren, der sie unterstützt. Beispielsweise Xerces 2.9.1.

Fehler beim Deserialisieren des XML-Typs „jaxp_feature_not_supported“:
Funktion „http://apache.org/xml/features/disallow-doctype-decl“ wird nicht unterstützt

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie