A Adobe foi notificada de uma Vulnerabilidade de Entidade Externa XML (XXE) (CVE-2015-3269) no BlazeDS. Para corrigir a vulnerabilidade retrospectivamente nas distribuições do BlazeDS incorporadas no LiveCycle Data Services (LCDS), a Adobe lançou um patch que inclui correções no arquivo flex-messaging-core.jar.

Execute os seguintes passos para obter e aplicar o patch:

  1. Patches estão disponíveis para as seguintes versões do LCDS. Consulte o Boletim de segurança da Adobe para obter mais informações e baixar o patch para sua versão LCDS.

    • LCDS 3.0.0.354170
    • LCDS 3.1.0.354173
    • LCDS 4.5.1.354169
    • LCDS 4.6.2.354169
    • LCDS 4.7.0.354169
  2. Navegue até o diretório de patch e copie o arquivo flex-messaging-core.jar.

  3. Substitua o arquivo flex-messaging-core.jar em seu aplicativo LCDS pelo arquivo copiado na etapa 2.

  4. Edite o arquivo services-config.xml em seu aplicativo LCDS para especificar o valor da propriedade allow-xml-external-entity-expansion como falso. O valor padrão é verdadeiro.

    Além disso, adicione a propriedade em channels/channel-definition/properties/serialization. Por exemplo:

    <services-config>
    
      |
    
      ---- <channels>
    
         |
    
         ---- <channel-definition ...>
    
             |
    
             ---- <properties>
    
                |
    
                ---- <serialization>
    
                    |
    
                    ---- <allow-xml-external-entity-expansion>
                            false
                          </allow-xml-external-entity-expansion>

    Observação:

    O valor padrão verdadeiro mantém compatibilidade com versões anteriores e deve ser desativado para configurar o analisador XML para desabilitar a expansão de entidade, conforme explicado em Processamento de Entidade Externa XML (XXE).

Observação:

Depois de aplicar o patch, se você encontrar o seguinte erro, isso significa que o analisador XML não oferece suporte ao recurso de entidades gerais externas. Portanto, você precisa atualizar seu analisador XML, como o Xerces 2.9.1.

Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported