LiveCycle Data Services 対象のセキュリティアップデート

リリース日:2015 年 11 月 17 日

脆弱性識別番号:APSB15-30

優先度:以下の表を参照してください

CVE 番号:CVE-2015-5255

プラットフォーム: 全プラットフォーム

概要

アドビでは、LiveCycle Data Services を対象としたセキュリティアップデートを公開しました。このアップデートには重要なサーバー側のリクエストフォージェリの脆弱性を解決する Apache™ BlazeDS のアップデートバージョンが含まれます。以下の「解決方法」セクションの指示に従い、利用できるアップデートを適用することを推奨します。

対象のバージョン

製品名 対象のバージョン プラットフォーム
LiveCycle Data Services 4.7、4.6.2、4.5、3.1.x、3.0.x Windows、Macintosh および Unix

解決策

アドビは、このホットフィックスの優先度を次のように評価し、この KB 記事で説明されている手順を使用する以下の関連のパッチを適用することをお勧めします:

製品名 アップデートバージョン プラットフォーム 優先度
LiveCycle Data Services 4.7.0.354178
Windows、Macintosh および Unix 2
  4.6.2.354178 Windows、Macintosh および Unix 2
  4.5.1.354177 Windows、Macintosh および Unix 2
  3.1.0.354180 Windows、Macintosh および Unix 2
  3.0.0.354175 Windows、Macintosh および Unix 2

アップデート

バージョン ファイルコンテンツ チェックサム(SHA1)
4.7.0.354178
flex-messaging-core.jar
1630ab025c94b9cd17eb6c08c8d3c03e8c3b476d
     
4.6.2.354178
flex-messaging-core.jar 13913aeeab44cca926311d69beab7144acd5cd69
     
4.5.1.354177
flex-messaging-core.jar 1a7caded7b92da7f7a339b4708a70a6bc0c38a0c
     
3.1.0.354180 flex-messaging-core.jar e90dc9153729395887096751d37d386a66e96230
     
3.0.0.354175
flex-messaging-core.jar 0b6e26f5f7a70c524bdd56642a2a3201dc0a3687

ダウンロード

ダウンロード

脆弱性に関する詳細

このアップデートは、影響を受けたシステムをサーバ側のリクエストフォージェリ攻撃にさらす可能性がある、精巧な XML 文書の解析にともなう問題を解決します(CVE-2015-5255)。

謝辞

この問題について報告してくださった PortSwigger Web Security の James Kettle 氏に対し、アドビより厚く御礼を申し上げます。