Adobe wurde über eine XML External Entity (XXE)-Sicherheitslücke (CVE-2015-3269) in BlazeDS informiert. Um die Sicherheitslücke in BlazeDS-Distributionen, die in LiveCycle Datadiensten (LCDS) eingebettet sind, nachträglich zu beheben, hat Adobe einen Patch veröffentlicht, der Korrekturen in der Datei flex-messaging-core.jar enthält.

Führen Sie die folgenden Schritte aus, um den Patch abzurufen und anzuwenden:

  1. Für die folgenden LCDS-Versionen sind Patches verfügbar. Weitere Informationen und den Patch für Ihre LCDS-Version finden Sie unter Adobe Sicherheitsbulletin.

    • LCDS 3.0.0.354170
    • LCDS 3.1.0.354173
    • LCDS 4.5.1.354169
    • LCDS 4.6.2.354169
    • LCDS 4.7.0.354169
  2. Navigieren Sie zum Patch-Verzeichnis, und kopieren Sie die Datei flex-messaging-core.jar.

  3. Ersetzen Sie die Datei flex-messaging-core.jar in Ihrer LCDS-Anwendung durch die in Schritt 2 kopierte Datei.

  4. Bearbeiten Sie die Datei services-config.xml in Ihrer LCDS-Anwendung, um den Wert der Eigenschaft allow-xml-external-entity-expansion als false festzulegen. Der Standardwert ist false.

    Fügen Sie die Eigenschaft außerdem an „channels/channel-definition/properties/serialization“ hinzu. Beispiel:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-external-entity-expansion>
                            false
                          </allow-xml-external-entity-expansion>

    Hinweis:

    Der standardmäßige Wert true behält Rückwärtskompatibilität und muss ausgeschaltet werden, damit der XML-Parser so konfiguriert wird, dass er den Organisationsaufbau deaktiviert, was in XML External Entity (XXE) Processing näher beschrieben wird.

Hinweis:

Wenn nach der Anwendung des Patches der folgende Fehler auftritt, bedeutet dies, dass Ihr XML-Parser die Funktion „external-general-entities“ nicht unterstützt. Daher müssen Sie Ihren XML-Parser beispielsweise auf Xerces 2.9.1 aktualisieren.

Fehler beim Deserialisieren des XML-Typs jaxp_feature_not_supported: Feature „http://xml.org/sax/features/external-general-entities“ wird nicht unterstützt

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie