Vulnerabilità dell'entità esterna XML (XXE) in BlazeDS

Adobe è stata informata di una vulnerabilità di entità esterna XML (XXE) (CVE-2015-3269) in BlazeDS. Per correggere la vulnerabilità retrospettivamente nelle distribuzioni BlazeDS incorporate nei LiveCycle Data Services (LCDS), Adobe ha pubblicato una patch che include correzioni nel file flex-messaging-core.jar.

Esegui i seguenti passaggi per ottenere e applicare la patch:

  1. Le patch sono disponibili per le seguenti versioni LCDS. Vedi Adobe Security Bulletin per ulteriori informazioni e per scaricare la patch per la versione LCDS.

    • LCDS 3.0.0.354170
    • LCDS 3.1.0.354173
    • LCDS 4.5.1.354169
    • LCDS 4.6.2.354169
    • LCDS 4.7.0.354169
  2. Passa alla directory delle patch e copia il file flex-messaging-core.jar.

  3. Sostituisci il file flex-messaging-core.jar nell'applicazione LCDS con il file copiato al punto 2.

  4. Modifica il file services-config.xml nell'applicazione LCDS per specificare il valore della proprietà allow-xml-external-entity-expansion come falso. Il valore predefinito è vero.

    Inoltre, aggiungi la proprietà a channels/channel-definition/properties/serialization. Ad esempio:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-external-entity-expansion>
                            false
                          </allow-xml-external-entity-expansion>
    Nota:

    Il valore predefinito vero mantiene la retrocompatibilità e deve essere disattivato per configurare il parser XML per disabilitare l'espansione delle entità, come spiegato in Elaborazione di entità esterne XML (XXE).

Nota:

Dopo aver applicato la patch, se incontri il seguente errore, implica che il parser XML non supporta la funzione di entità generali esterne. Pertanto, devi aggiornare il tuo parser XML come Xerces 2.9.1.

Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?