Adobe ha sido notificado de una vulnerabilidad SSRF (CVE-2015-5255) en BlazeDS. Para corregir la vulnerabilidad de forma retrospectiva en las distribuciones BlazeDS integradas en LiveCycle Data Services (LCDS), Adobe ha lanzado un parche que incluye correcciones en el archivo flex-messaging-core.jar.

Siga los siguientes pasos para obtener y aplicar el parche:

  1. Los parches están disponibles para las siguientes versiones de LCDS. Consulte el Boletín de seguridad de Adobe para obtener más información y para descargar el parche para su versión LCDS.

    • LCDS 3.0.0.354175
    • LCDS 3.1.0.354180
    • LCDS 4.5.1.354177
    • LCDS 4.6.2.354178
    • LCDS 4.7.0.354178
  2. Navegue al directorio de parches y copie el archivo flex-messaging-core.jar.

  3. Reemplace el archivo flex-messaging-core.jar en su aplicación LCDS con el archivo copiado en el paso 2.

  4. Edite el archivo services-config.xml en su aplicación LCDS. Añada la propiedad allow-xml-doctype-declaration bajo channels/channel-definition/properties/serialization y establezca su valor en false. Por ejemplo:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-doctype-declaration>
                            false
                          </allow-xml-doctype-declaration>

Nota:

Después de aplicar el parche, si encuentra el siguiente error, esto implica que su analizador XML no soporta la función disallow-doctype-decl. En este caso, necesitaría actualizar su analizador XML a uno que lo soporte. Por ejemplo, Xerces 2.9.1.

Error deserializing XML type jaxp_feature_not_supported:
Feature "http://apache.org/xml/features/disallow-doctype-decl" is not supported

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea