Adobe は BlazeDS の XML 外部エンティティ(XXE)の脆弱性(CVE-2015-3269)の通知を受けました。LiveCycle Data Services (LCDS) に組み込まれた BlazeDS ディストリビューションでこの脆弱性を遡及的に解決するために、Adobe は、flex-messaging-core.jar ファイルの修正を含むパッチをリリースしました。

次の手順を実行してパッチを取得し適用します。

  1. パッチは次の LCDS バージョンで使用できます。詳細については、セキュリティ速報およびセキュリティ情報を参照して、ご自分の LCDS バージョンのパッチをダウンロードしてください。

    • LCDS 3.0.0.354170
    • LCDS 3.1.0.354173
    • LCDS 4.5.1.354169
    • LCDS 4.6.2.354169
    • LCDS 4.7.0.354169
  2. パッチディレクトリに移動し、flex-messaging-core.jar ファイルをコピーします。

  3. 手順 2 でコピーしたファイルを使用して LCDS アプリケーションの flex-messaging-core.jar ファイルを置き換えます。

  4. allow-xml-external-entity-expansion プロパティの値を false に指定するには、LCDS アプリケーションの services-config.xml ファイルを編集します。デフォルト値は true です。

    また、channels/channel-definition/properties/serialization のプロパティを追加します。例:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-external-entity-expansion>
                            false
                          </allow-xml-external-entity-expansion>

    注意:

    デフォルト値 true は後方互換性を維持し、XML 外部エンティティ(XXE)処理で説明されているように、XML パーサーがエンティティ拡張を無効にするように設定する必要があります。

注意:

パッチを適用した後に次のエラーが発生した場合は、XML パーサーが external-general-entities 機能をサポートしていないことを意味します。したがって、Xerces 2.9.1 など、お使いの XML パーサーを更新する必要があります。

XML type jaxp_feature_not_supported のデシリアライズ時にエラーが発生しました:「http://xml.org/sax/features/external-general-entities」機能はサポートされていません

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー