Adobe a été informé d’une vulnérabilité SSRF (CVE-2015-5255) dans BlazeDS. Pour corriger la vulnérabilité de manière rétrospective dans les distributions BlazeDS intégrées à LiveCycle Data Services (LCDS), Adobe a publié un correctif qui inclut des correctifs dans le fichier flex-messaging-core.jar.

Effectuez les étapes suivantes pour obtenir et appliquer le correctif :

  1. Des correctifs sont disponibles pour les versions LCDS suivantes. Voir Adobe Security Bulletin pour plus d’informations et pour télécharger le correctif pour votre version LCDS.

    • LCDS 3.0.0.354175
    • LCDS 3.1.0.354180
    • LCDS 4.5.1.354177
    • LCDS 4.6.2.354178
    • LCDS 4.7.0.354178
  2. Accédez au répertoire des correctifs et copiez le fichier flex-messaging-core.jar.

  3. Remplacez le fichier flex-messaging-core.jar dans votre application LCDS par le fichier copié à l’étape 2.

  4. Editez le fichier services-config.xml dans votre application LCDS. Ajoutez la propriété allow-xml-doctype-declaration sous channels/channel-definition/properties/serialization et définissez sa valeur sur false. Par exemple :

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-doctype-declaration>
                            false
                          </allow-xml-doctype-declaration>

Remarque :

Après avoir appliqué le correctif, si vous rencontrez l’erreur suivante, cela signifie que votre analyseur XML ne prend pas en charge la fonctionnalité disallow-doctype-decl. Dans ce cas, vous devrez mettre à jour votre analyseur XML pour celui qui le prend en charge. Par exemple, Xerces 2.9.1.

Erreur lors de la désérialisation du type XML type jaxp_feature_not_supported :
Feature "http://apache.org/xml/features/disallow-doctype-decl" is not supported

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne