Vulnerabilidad de entidad externa XML (XXE) en BlazeDS

Se ha notificado a Adobe de una vulnerabilidad de Entidad externa XML (XXE) (CVE-2015-3269) en BlazeDS. Para corregir la vulnerabilidad de forma retrospectiva en las distribuciones BlazeDS integradas en LiveCycle Data Services (LCDS), Adobe ha lanzado un parche que incluye correcciones en el archivo flex-messaging-core.jar.

Siga los siguientes pasos para obtener y aplicar el parche:

  1. Los parches están disponibles para las siguientes versiones de LCDS. Consulte el Boletín de seguridad de Adobe para obtener más información y para descargar el parche para su versión de LCDS.

    • LCDS 3.0.0.354170
    • LCDS 3.1.0.354173
    • LCDS 4.5.1.354169
    • LCDS 4.6.2.354169
    • LCDS 4.7.0.354169
  2. Vaya al directorio de parches y copie el archivo flex-messaging-core.jar.

  3. Reemplace el archivo flex-messaging-core.jar en su aplicación LCDS con el archivo copiado en el paso 2.

  4. Edite el archivo services-config.xml en su aplicación LCDS para especificar el valor de la propiedad allow-xml-external-entity-expansion como falso. El valor predeterminado es verdadero.

    Además, agregue la propiedad en channels/channel-definition/properties/serialization Por ejemplo:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-external-entity-expansion>
                            false
                          </allow-xml-external-entity-expansion>
    Nota:

    El valor predeterminado verdadero mantiene la compatibilidad con versiones anteriores y debe desactivarse para configurar el analizador XML a fin de desactivar la expansión de entidades, tal como se explica en Procesamiento de entidades externas (XXE) de XML.

Nota:

Después de aplicar el parche, si encuentra el siguiente error, esto implica que su analizador XML no admite la función de entidades externas generales. Por lo tanto, necesita actualizar su analizador XML como Xerces 2.9.1.

Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?