Sikkerhedsopdatering til LiveCycle Data Services

Udgivelsesdato: 17. november 2015

Id for sikkerhedsproblem: APSB15-30

Prioritet: Se tabel nedenfor

CVE-nummer: CVE-2015-5255

Platform: Alle platforme

Resumé

Adobe har frigivet en sikkerhedsopdatering til LiveCycle Data Services. Denne opdatering indeholder en opdateret version af Apache™ BlazeDS, der løser et vigtigt sikkerhedsproblem med Server Side Request Forgery (SSRF). Adobe anbefaler, at brugere anvender de tilgængelige opdateringer vha. instruktionerne, der fremgår af afsnittet "Løsning" herunder.

Berørte versioner

Produkt Berørte versioner Platform
LiveCycle Data Services 4.7, 4.6.2, 4.5, 3.1.x, 3.0.x Windows, Macintosh og Unix

Løsning

Adobe kategoriserer dette hotfix med følgende prioritetsgrad og anbefaler brugere at anvende den relevante patch, der er tilgængelig nedenfor vha. instruktionerne, der er indeholdt i denne KB-artikel:

Produkt Opdaterede versioner Platform Prioritet
LiveCycle Data Services 4.7.0.354178
Windows, Macintosh og Unix 2
  4.6.2.354178 Windows, Macintosh og Unix 2
  4.5.1.354177 Windows, Macintosh og Unix 2
  3.1.0.354180 Windows, Macintosh og Unix 2
  3.0.0.354175 Windows, Macintosh og Unix 2

Opdateringer

Version Arkivindhold Checksum (SHA1)
4.7.0.354178
flex-messaging-core.jar
1630ab025c94b9cd17eb6c08c8d3c03e8c3b476d
     
4.6.2.354178
flex-messaging-core.jar 13913aeeab44cca926311d69beab7144acd5cd69
     
4.5.1.354177
flex-messaging-core.jar 1a7caded7b92da7f7a339b4708a70a6bc0c38a0c
     
3.1.0.354180 flex-messaging-core.jar e90dc9153729395887096751d37d386a66e96230
     
3.0.0.354175
flex-messaging-core.jar 0b6e26f5f7a70c524bdd56642a2a3201dc0a3687

Download

Download

Sikkerhedsoplysninger

Denne opdatering løser et sikkerhedsproblem med analyse af avancerede XML-dokumenter, der kan udsætte de berørte systemer for Server Side Request Forgery (SSRF)-angreb (CVE-2015-5255).

Tak til følgende personer

Adobe vil gerne takke James Kettle fra PortSwigger Web Security for at rapportere dette sikkerhedsproblem.