1. Pagina principale
2. Supporto
3. Avvisi sulla sicurezza

Bollettino sulla sicurezza

Aggiornamento di sicurezza disponibile per LiveCycle Data Services, LiveCycle ES e BlazeDS

Data di pubblicazione: 14 giugno 2011

Identificatore di vulnerabilità: APSB15-11

Codice CVE: CVE-2011-2092, CVE-2011-2093

Piattaforme: tutte

Riepilogo

Sono state identificate due importanti vulnerabilità in LiveCycle Data Services e BlazeDS. Tali vulnerabilità riguardano LiveCycle Data Services 3.1, 2.6.1, 2.5.1 e versioni precedenti per Windows, Macintosh e UNIX, nonché LiveCycle 9.0.0.2, 8.2.1.3, 8.0.1.3 e versioni precedenti per Windows, Linux e UNIX. Tali vulnerabilità riguardano anche BlazeDS 4.0.1 e versioni precedenti. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti in questione in base alle istruzioni fornite nella sezione Soluzione riportata di seguito.

Versioni del software interessate

• LiveCycle Data Services 3.1, 2.6.1, 2.5.1 e versioni precedenti per Windows, Macintosh e UNIX
• LiveCycle 9.0.0.2, 8.2.1.3, 8.0.1.3 e versioni precedenti per Windows, Linux e UNIX
• BlazeDS 4.0.1 e versioni precedenti

Soluzione

Adobe consiglia agli utenti di LiveCycle Data Services, LiveCycle e/o BlazeDS di aggiornare le proprie installazioni in base alle istruzioni riportate di seguito:

LiveCycle Data Services

Flex Data Services 2.0.1
Prerequisito: è necessario che Flex Data Services 2.0.1 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per FDS 2.0.1 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar e flex-messaging.jar nella directory /WEB-INF/lib/ dell'applicazione web Flex Data Services a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Copiare il file flex-messaging-common.jar nella directory /lib di Flex SDK. Questa operazione deve essere effettuata solo se è necessario compilare l'applicazione in base a un file services-config.xml con la configurazione dei convalidatori. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

LiveCycle Data Services 2.5
Prerequisito: è necessario che LiveCycle Data Services 2.5 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per LCDS 2.5 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar e flex-messaging.jar nella directory /WEB-INF/lib/ dell'applicazione web LiveCycle Data Services a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Copiare il file flex-messaging-common.jar nella directory /lib di Flex SDK. Questa operazione deve essere effettuata solo se è necessario compilare l'applicazione in base a un file services-config.xml con la configurazione dei convalidatori. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

LiveCycle Data Services 2.5.1
Prerequisito: è necessario che LiveCycle Data Services 2.5.1 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per LCDS 2.5.1 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar e flex-messaging.jar nella directory /WEB-INF/lib/ dell'applicazione web LiveCycle Data Services a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Copiare il file flex-messaging-common.jar nella directory /lib di Flex SDK. Questa operazione deve essere effettuata solo se è necessario compilare l'applicazione in base a un file services-config.xml con la configurazione dei convalidatori. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

LiveCycle Data Services 2.6
Prerequisito: è necessario che LiveCycle Data Services 2.6 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per LCDS 2.6 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar, flex-messaging-core.jar e flex-messaging-data.jar nella directory /WEB-INF/lib/ dell'applicazione web LiveCycle Data Services a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Copiare il file flex-messaging-common.jar nella directory /lib di Flex SDK. Questa operazione deve essere effettuata solo se è necessario compilare l'applicazione in base a un file services-config.xml con la configurazione dei convalidatori. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

LiveCycle Data Services 2.6.1
Prerequisito: è necessario che LiveCycle Data Services 2.6.1 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per LCDS 2.6.1 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar, flex-messaging-core.jar e flex-messaging-data.jar nella directory /WEB-INF/lib/ dell'applicazione web LiveCycle Data Services a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Copiare il file flex-messaging-common.jar nella directory /lib di Flex SDK. Questa operazione deve essere effettuata solo se è necessario compilare l'applicazione in base a un file services-config.xml con la configurazione dei convalidatori. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

LiveCycle Data Services 3
Prerequisito: è necessario che LiveCycle Data Services 3 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per LCDS 3 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar, flex-messaging-core.jar e flex-messaging-data.jar nella directory /WEB-INF/lib/ dell'applicazione web LiveCycle Data Services a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

LiveCycle Data Services 3.1
Prerequisito: è necessario che LiveCycle Data Services 3.1 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per LCDS 3.1 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar, flex-messaging-core.jar e flex-messaging-data.jar nella directory /WEB-INF/lib/ dell'applicazione web LiveCycle Data Services a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

LiveCycle 9.0.0.2, 8.2.1.3 e 8.0.1.3
Scaricare la correzione rapida appropriata per la propria versione di LiveCycle e per la piattaforma o il sistema operativo corrispondente. Consultare il file Leggimi e seguire le istruzioni in esso contenute per installare:

LiveCycle 9.0.0.2:
Leggimi: QF2.73_9002

Download	Sistema operativo	Nome file	MD5	Dimensioni file
JBoss	Windows	JBoss_build_configuration.zip	1eec5f0840f909443e0604fc5139dd1b	346 M
WebLogic	Windows	WebLogic_build_configuration.zip	e9d9807023226ae272043804a329067f	346 M
WebSphere	Windows	WebSphere_build_configuration.zip	f4c185d5fbec5653b135851562439ee4	405 M
JBoss	Unix	jboss_build_configuration_unix.tar.gz	19522f1ef1141d0176af78afeb32b3b1	346 M
WebLogic	Unix	weblogic_build_configuration_unix.tar.gz	d8d7bbaa3c0ece73fe816e19a4466258	346 M
WebSphere	Unix	websphere_build_configuration_unix.tar.gz	562a15de38f1c5647b0ef0fa2805ea03	405 M

LiveCycle 8.2.1.3:
Leggimi: QF3.134_8213

Sistema operativo	Nome file	MD5	Dimensioni file
Windows	x86_win32_build_configuration.zip	38821142e06f9550ddfacef957ce4137	238 M
Linux	x86_linux_build_configuration.tar.gz	bc9e9d5719e2d2d261043fa3a9a585e8	213 M
Sun OS	sunos_build_configuration.tar.gz	d71331deb3522ed663a670280b2d514d	213 M
AIX	aix_build_configuration.tar.gz	4b01a13e220d8493fda3c8d1500188f0	213 M

LiveCycle 8.0.1.3:
Leggimi: QF3.24_801

Sistema operativo	Nome file	MD5	Dimensioni file
Windows	x86_win32_build_configuration.zip	4f36c6ebdb59b3d67cf4df55c0c38bdc	274 M
Linux	x86_linux_build_configuration.tar.gz	e6bb84903879929aa5a6eab5fab2dc81	249 M
Sun OS	sunos_build_configuration.tar.gz	40b1dda0d6bca92b3b807cacb20ae0b0	249 M
AIX	aix_build_configuration.tar.gz	678ead1d58cc3f1e57d0aed44919e4a3

BlazeDS 4.0.1
Prerequisito: è necessario che BlazeDS 4.0.1 sia già installato.
Istruzioni per l'installazione

1. Scaricare il file .zip contenente la patch per BlazeDS 4.0.1 ed estrarne il contenuto nel file system locale.
2. Copiare i file flex-messaging-common.jar e flex-messaging-core.jar nella directory /WEB-INF/lib/ dell'applicazione web BlazeDS a cui si desidera applicare la correzione, sovrascrivendo le versioni esistenti di questi file, quindi riavviare il server.
3. Non è necessario ricompilare l'applicazione per rendere effettive le modifiche attuate nell'ambito di questa correzione di sicurezza, in quanto tutte le modifiche sono lato server.

Nota: per le versioni precedenti di BlazeDS, Adobe consiglia agli utenti di eseguire l'aggiornamento alla versione BlazeDS 4.0.1 e quindi applicare la patch di sicurezza seguendo le istruzioni sopra riportate.

Livello di gravità

Adobe classifica questi problemi come importanti e consiglia agli utenti di applicare l'aggiornamento più recente per i prodotti installati sul proprio computer seguendo le istruzioni fornite nella sezione Soluzione di cui sopra.

Dettagli

Sono state identificate due importanti vulnerabilità in LiveCycle Data Services e BlazeDS. Tali vulnerabilità riguardano LiveCycle Data Services 3.1, 2.6.1, 2.5.1 e versioni precedenti per Windows, Macintosh e UNIX, nonché LiveCycle 9.0.0.2, 8.2.1.3, 8.0.1.3 e versioni precedenti per Windows, Linux e UNIX. Tali vulnerabilità riguardano anche BlazeDS 4.0.1 e versioni precedenti. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti in questione in base alle istruzioni fornite nella sezione Soluzione di cui sopra.

Questi aggiornamenti risolvono una vulnerabilità legata alla creazione illimitata di classi durante la deserializzazione AMF/AMFX che genera rischi per la sicurezza (CVE-2011-2092).

Questi aggiornamenti risolvono una vulnerabilità relativa a grafici di oggetti complessi che potrebbe provocare un problema di tipo Denial of Service (DoS) (CVE-2011-2093).

Ringraziamenti

Adobe desidera ringraziare Wouter Coekaerts (CVE-2011-2092, CVE-2011-2093) per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti.