アドビは、BlazeDS の SSRF 脆弱性(CVE-2015-5255)について通知を受けています。LiveCycle Data Services(LCDS)に埋め込まれた BlazeDS の配布の脆弱性を遡及的に修正するために、アドビは flex-messaging-core.jar ファイルでの修正を含むパッチをリリースしました。

次の手順を実行してパッチを取得し適用します。

  1. パッチは次の LCDS バージョンで使用できます。詳しくは、「Adobe セキュリティ情報」を参照し、LCDS バージョンのパッチをダウンロードしてください。

    • LCDS 3.0.0.354175
    • LCDS 3.1.0.354180
    • LCDS 4.5.1.354177
    • LCDS 4.6.2.354178
    • LCDS 4.7.0.354178
  2. パッチディレクトリに移動して、flex-messaging-core.jar ファイルをコピーします。

  3. LCDS アプリケーションの flex-messaging-core.jar ファイルを手順 2でコピーしたファイルに置き換えます。

  4. LCDS アプリケーションで services-config.xml ファイルを編集します。channels/channel-definition/properties/serialization の下にプロパティ allow-xml-doctype-declaration を追加し、値を false に設定します。例:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-doctype-declaration>
                            false
                          </allow-xml-doctype-declaration>

注意:

パッチを適用した後に次のエラーが発生した場合は、XML パーサーが disallow-doctype-decl 機能をサポートしていないことを意味します。この場合、XML パーサーをサポートしているものに更新する必要があります。例えば、Xerces 2.9.1。

XML タイプ jaxp_feature_not_supported を非シリアル化しているエラー:
機能「http://apache.org/xml/features/disallow-doctype-decl」がサポートされていません

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー