パッチは次の LCDS バージョンで使用できます。詳細については、セキュリティ速報およびセキュリティ情報を参照して、ご自分の LCDS バージョンのパッチをダウンロードしてください。
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
最終更新日 :
2021年4月27日
|
次にも適用 : AEM Forms on JEE, Digital Enterprise Platform
Adobe は BlazeDS の XML 外部エンティティ(XXE)の脆弱性(CVE-2015-3269)の通知を受けました。LiveCycle Data Services (LCDS) に組み込まれた BlazeDS ディストリビューションでこの脆弱性を遡及的に解決するために、Adobe は、flex-messaging-core.jar ファイルの修正を含むパッチをリリースしました。
次の手順を実行してパッチを取得し適用します。
-
-
パッチディレクトリに移動し、flex-messaging-core.jar ファイルをコピーします。
-
手順 2 でコピーしたファイルを使用して LCDS アプリケーションの flex-messaging-core.jar ファイルを置き換えます。
-
allow-xml-external-entity-expansion プロパティの値を false に指定するには、LCDS アプリケーションの services-config.xml ファイルを編集します。デフォルト値は true です。
また、channels/channel-definition/properties/serialization のプロパティを追加します。例:
<services-config> | ---- <channels> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>注意:デフォルト値 true は後方互換性を維持し、XML 外部エンティティ(XXE)処理で説明されているように、XML パーサーがエンティティ拡張を無効にするように設定する必要があります。
注意:
パッチを適用した後に次のエラーが発生した場合は、XML パーサーが external-general-entities 機能をサポートしていないことを意味します。したがって、Xerces 2.9.1 など、お使いの XML パーサーを更新する必要があります。
XML type jaxp_feature_not_supported のデシリアライズ時にエラーが発生しました:「http://xml.org/sax/features/external-general-entities」機能はサポートされていません
