Fecha de publicación: 11 de febrero de 2010
Última actualización: 18 de febrero de 2010
Identificador de vulnerabilidad: APSB10-05
Número CVE: CVE-2009-3960
Plataforma: Todas
Se ha identificado una vulnerabilidad importante (CVE-2009-3960) en BlazeDS 3.2 y versiones anteriores. Al procesar peticiones entrantes, las referencias a entidades externas XML y las etiquetas insertadas pueden provocar la revelación de información. Este problema afecta a LiveCycle 9.0, 8.2.1 y 8.0.1, y a ColdFusion 9.0, 8.0.1, 8.0 y 7.0.2, instalados con distintas versiones de productos de Data Services. Adobe ha proporcionado una solución para la vulnerabilidad notificada para cada producto de Adobe afectado. Se recomienda que los usuarios actualicen sus instalaciones de los productos Adobe afectados a la última versión siguiendo las instrucciones que se ofrecen a continuación.
BlazeDS 3.2 y versiones anteriores
LiveCycle 9.0, 8.2.1 y 8.0.1
LiveCycle Data Services 3.0, 2.6.1 y 2.5.1
Flex Data Services 2.0.1
ColdFusion 9.0, 8.0.1, 8.0 y 7.0.2
BlazeDS
Requisito previo: requiere que BlazeDS 3.2 ya esté instalado.
Instrucciones de instalación:
1. Descargue el archivo zip del parche para BlazeDS 3.2 y extraiga el contenido en el sistema local de archivos.
2. Copie el archivo flex-messaging-core.jar en el directorio /WEB-INF/lib/ de la aplicación Web de BlazeDS a la que también quiera aplicar la revisión.
Nota: En el caso de versiones diarias de las ramas BlazeDS Trunk o BlazeDS 3.x, se recomienda a los cliente actualizarse a la última versión diaria. Este problema se resolvió en BlazeDS 3.x versión 12617 (y en posteriores) y en BlazeDS Trunk versión 12583 (y posteriores).
LiveCycle 9.0
Requisito previo: requiere que LiveCycle 9.0 ya esté instalado.
Instrucciones de instalación:
1. Descargue el zip del parche para LiveCycle 9.0.
2. Extraiga el archivo zip a un directorio del servidor.
3. Vaya a la carpeta <PatchFolder>/<AppServer>_build_configuration/Disk1/InstData/<OS>/VM.
Es decir, en Windows/JBoss setup: vaya a <PatchFolder>\JBoss_build_configuration\Disk1\InstData\Windows\VM
o en Linux/Weblogic setup: vaya a <PatchFolder>/WebLogic_build_configuration/Disk1/InstData/Linux/NoVM
4. Ejecute el siguiente archivo para iniciar el programa de instalación del parche:
En Windows: lces2_qf_install.exe
En Unix: lces2_qf_install.bin
5. Aparece el panel de introducción de la ventana Adobe LiveCycle ES2 Quick Fix Patch. Haga clic en Next.
6. En el panel Choose Install Folder, introduzca la ruta de la carpeta en la que se ha instalado LiveCycle ES2.
Es decir, en Windows: C:\Adobe\Adobe LiveCycle ES2
o en Linux: /opt/adobe/adobe_livecycle_es2
Haga clic en Next.
7. Vea el resumen del parche de corrección rápida en el panel Quick Fix Patch Summary. Haga clic en Next.
8. Vea el resumen de preinstalación antes de continuar en el panel Pre-Installation Summary. Haga clic en Install.
9. Los archivos actualizados se han instalado correctamente. Haga clic en Next para sustituir los archivos existentes por los actualizados.
10. En el panel Installation Complete, marque la casilla de verificación Start LiveCycle Configuration Manager y haga clic en Click Done.
11. Aparece la ventana Adobe LiveCycle Configuration Manager. Ya puede proceder a configurar e implantar LiveCycle ES2 revisado.
LiveCycle 8.2.1
Requisito previo: requiere que LiveCycle 8.2.1 ya esté instalado.
Instrucciones de instalación:
1. Descargue el archivo zip del parche para LiveCycle 8.2.1.
2. Extraiga el archivo zip a una carpeta de parches y copie la carpeta para el sistema operativo correspondiente en el servidor.
3. Vaya a la carpeta <PatchFolder>/<OS>_build_configuration/disk1.
Es decir, en Windows setup: vaya a <PatchFolder>\x86_win32_build_configuration\disk1
o en Linux setup: vaya a <PatchFolder>/x86_linux_build_configuration/disk1
4. Ejecute el siguiente archivo para iniciar el programa de instalación del parche:
En Windows: adobe_livecycle_8_2_qf.exe
En Unix: adobe_livecycle_8_2_qf.bin
5. Aparece la ventana de InstallShield. Seleccione el idioma que quiere utilizar para este asistente y haga clic en Aceptar.
6. Aparece el panel de introducción de la ventana LiveCycle ES Quick Fix Installer. Haga clic en Next.
7. En el panel Configuration, indique la ruta del directorio raíz de LiveCycle ES.
Es decir, en Windows: C:\Adobe\LiveCycle8.2
o en Linux: /opt/adobe/livecycle8.2
Haga clic en Next.
8. Vea el resumen de corrección rápida y haga clic en Next.
9. Vea el resumen de corrección rápida (continuación) en el panel de revisión antes de continuar. Haga clic en Install.
10. El programa de instalación Adobe LiveCycle ES Quick Fix Installer ha terminado de copiar los archivos. Haga clic en Next para aplicar las actualizaciones de corrección rápida en los archivos instalados.
11. En el panel Quick Fix Installation Completion, marque la casilla de verificación Start LiveCycle Configuration Manager y haga clic en Finish.
12. Aparece la ventana Adobe LiveCycle Configuration Manager. Ya puede proceder a configurar, implantar y validar LiveCycle ES revisado.
LiveCycle 8.0.1
Requisito previo: requiere que LiveCycle 8.0.1 ya esté instalado.
Instrucciones de instalación:
1. Descargue el archivo zip del parche para LiveCycle 8.0.1.
2. Extraiga el archivo zip a una carpeta de parches y copie la carpeta para el sistema operativo correspondiente en el servidor.
3 . Vaya a la carpeta <PatchFolder>/<OS>_build_configuration/disk1.
Es decir, en Windows setup: vaya a <PatchFolder>\x86_win32_build_configuration\disk1
o en Linux setup: vaya a <PatchFolder>/x86_linux_build_configuration/disk1
4. Ejecute el siguiente archivo para iniciar el programa de instalación del parche:
En Windows: adobe_livecycle_8_0_qf.exe
En Unix: adobe_livecycle_8_0_qf.bin
5. Aparece la ventana de InstallShield. Seleccione el idioma que quiere utilizar para este asistente y haga clic en Aceptar.
6 Aparece el panel de introducción de la ventana LiveCycle ES Quick Fix Installer. Haga clic en Next.
7. En el panel Configuration, indique la ruta del directorio raíz de LiveCycle ES.
Es decir, en Windows: C:\Adobe\LiveCycle8
o en Linux: /opt/adobe/livecycle8
Haga clic en Next.
8. Vea el resumen de parches y haga clic en Next.
9. Vea el resumen de parches (continuación) en el panel de revisión antes de continuar. Haga clic en Install.
10. El programa de instalación Adobe LiveCycle ES Patch Installer ha terminado de copiar los archivos. Haga clic en Next para aplicar las actualizaciones del parche a los archivos instalados.
11. En el panel Patch Installation Completion marque la casilla de verificación Start LiveCycle Configuration Manager y haga clic en Finish.
12. Aparece la ventana Adobe LiveCycle Configuration Manager. Ya puede proceder a configurar, implantar y validad LiveCycle ES revisado.
LiveCycle Data Services 2.5.1
Requisito previo: requiere que LiveCycle Data Services 2.5.1 ya esté instalado.
Instrucciones de instalación:
1. Descargue el archivo zip del parche para LiveCycle Data Services 2.5.1 y extraiga el contenido en el sistema local de archivos.
2. Copie los archivos flex-messaging.jar y flex-messaging-common.jar en el directorio /WEB-INF/lib/ de la aplicación Web de LCDS a la que quiera aplicar la revisión.
LiveCycle Data Services 2.6.1
Requisito previo: requiere que LiveCycle Data Services 2.6.1 ya esté instalado.
Instrucciones de instalación:
1. Descargue el archivo zip del parche para LiveCycle Data Services 2.6.1 y extraiga el contenido en el sistema local de archivos.
2. Copie los archivos flex-messaging-core.jar y flex-messaging-common.jar en el directorio /WEB-INF/lib/ de la aplicación Web de LCDS Web a la que quiera aplicar la revisión.
LiveCycle Data Services 3.0
Requisito previo: requiere que LiveCycle Data Services 3.0 ya esté instalado.
Instrucciones de instalación:
1. Descargue el archivo zip del parche para LiveCycle Data Services 3.0 y extraiga el contenido en el sistema local de archivos.
2. Copie el archivo flex-messaging-core.jar al directorio /WEB-INF/lib/ directory de la aplicación Web de LCDS a la que quiera aplicar la revisión.
Flex Data Services 2.0.1
Requisito previo: requiere que Flex Data Services 2.0.1 ya esté instalado.
Instrucciones de instalación:
1. Descargue el archivo zip del parche para Flex Data Services 2.0.1 y extraiga el contenido en el sistema local de archivos.
2. Copie los archivos flex-messaging.jar y flex-messaging-common.jar en el directorio /WEB-INF/lib/ de la aplicación Web de FDS a la que quiera aplicar la revisión.
ColdFusion
Instrucciones de instalación disponibles aquí: http://kb2.adobe.com/cps/822/cpsid_82241.html*.
Nota: la descripción de la nota técnica se actualizó el 18 de febrero de 2010. Todos los usuarios de ColdFusion deberían revisar la nota técnica*.
Adobe las categoriza como actualizaciones importantes y recomienda que los usuarios apliquen las actualizaciones para sus instalaciones de productos respectivas.
Se ha identificado una vulnerabilidad importante (CVE-2009-3960) en BlazeDS 3.2 y versiones anteriores. Al procesar peticiones entrantes, las referencias a entidades externas XML y las etiquetas insertadas pueden provocar la revelación de información. La revelación de información está limitada a archivos legibles por el proceso del servidor que ejecuta BlazeDS, que puede incluir información sensible en determinados entornos de clientes. Este problema afecta a LiveCycle 9.0, 8.2.1 y 8.0.1, y a ColdFusion 9.0, 8.0.1, 8.0 y 7.0.2, instalados con distintas versiones de productos de Data Services. Adobe ha proporcionado una solución para la vulnerabilidad notificada para cada producto de Adobe afectado. Se recomienda que los usuarios actualicen sus instalaciones de los productos Adobe afectados a la última versión siguiendo las anteriores instrucciones.
Adobe desea dar las gracias a los siguientes usuarios y organizaciones por informar de estos problemas importantes, así como por su colaboración con Adobe para ayudarnos a proteger a nuestros clientes:
Boletín actualizado con una nota de que se ha actualizado la descripción de la nota técnica de ColdFusion - 18 de febrero de 2010.
Creación del boletín - 11 de febrero de 2010.
