パッチは次の LCDS バージョンで使用できます。詳しくは、「Adobe セキュリティ情報」を参照し、LCDS バージョンのパッチをダウンロードしてください。
- LCDS 3.0.0.354175
- LCDS 3.1.0.354180
- LCDS 4.5.1.354177
- LCDS 4.6.2.354178
- LCDS 4.7.0.354178
最終更新日 :
2021年4月27日
|
次にも適用 : AEM Forms on JEE, Digital Enterprise Platform
アドビは、BlazeDS の SSRF 脆弱性(CVE-2015-5255)について通知を受けています。LiveCycle Data Services(LCDS)に埋め込まれた BlazeDS の配布の脆弱性を遡及的に修正するために、アドビは flex-messaging-core.jar ファイルでの修正を含むパッチをリリースしました。
次の手順を実行してパッチを取得し適用します。
-
-
パッチディレクトリに移動して、flex-messaging-core.jar ファイルをコピーします。
-
LCDS アプリケーションの flex-messaging-core.jar ファイルを手順 2でコピーしたファイルに置き換えます。
-
LCDS アプリケーションで services-config.xml ファイルを編集します。channels/channel-definition/properties/serialization の下にプロパティ allow-xml-doctype-declaration を追加し、値を false に設定します。例:
<services-config> | ---- <channels> | ---- <channel-definition ...> | ---- <properties> | ---- <serialization> | ---- <allow-xml-doctype-declaration> false </allow-xml-doctype-declaration>
注意:
パッチを適用した後に次のエラーが発生した場合は、XML パーサーが disallow-doctype-decl 機能をサポートしていないことを意味します。この場合、XML パーサーをサポートしているものに更新する必要があります。例えば、Xerces 2.9.1。
XML タイプ jaxp_feature_not_supported を非シリアル化しているエラー:
機能「http://apache.org/xml/features/disallow-doctype-decl」がサポートされていません
