Adobe a été informé de la vulnérabilité d’une entité externe XML (XXE) (CVE -2015-3269) dans le BlazeDS. Pour corriger la vulnérabilité de manière rétrospective dans les distributions BlazeDS intégrées à LiveCycle Data Services (LCDS), Adobe a publié un correctif qui inclut des correctifs dans le fichier flex-messaging-core.jar.
-
Des correctifs sont disponibles pour les versions LCDS suivantes. Voir Bulletin de sécurité Adobe pour plus d’informations et pour télécharger le correctif pour votre version LCDS.
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
-
Editez le fichier services-config.xml dans votre application LCDS pour spécifier la valeur de la propriété allow-xml-external-entity-expansion comme false. La valeur par défaut est true.
Ajoutez également la propriété sur channels / channel-definition / properties / serialization. Par exemple :
<services-config> | ---- <channels> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>
Remarque :
La valeur par défaut true maintient la compatibilité ascendante et doit être désactivée pour configurer l’analyseur XML afin de désactiver l’extension d’entité, comme expliqué dans Traitement des entités XML externes.
Remarque :
Après avoir appliqué le correctif, si vous rencontrez l’erreur suivante, cela implique que votre analyseur XML ne prend pas en charge la fonctionnalité d’entités générales externes. Par conséquent, vous devez mettre à jour votre analyseur XML, tel que Xerces 2.9.1.