Releasedatum: 11 februari 2010
Senast uppdaterad: 18 februari 2010
Sårbarhets-ID: APSB10-05
CVE-nummer: CVE-2009-3960
Plattform: Alla
En sårbarhet som klassas som important* (CVE-2009-3960) har identifierats i BlazeDS 3.2 och tidigare versioner. När programmet behandlar inkommande förfrågningar kan XML-externa enhetsreferenser och injicerade taggar resultera i att information avslöjas. Problemet berör LiveCycle 9.0, 8.2.1 och 8.0.1, samt ColdFusion 9.0, 8.0.1, 8.0 och 7.0.2, som installeras med olika versioner av Data Services-produkter. Adobe har en lösning för den rapporterade säkerhetsluckan för alla drabbade Adobe-produkter. Vi rekommenderar att användare uppdaterar sina installationer av de berörda programmen till den senaste versionen enligt instruktionerna nedan.
BlazeDS 3.2 och tidigare versioner
LiveCycle 9.0, 8.2.1 och 8.0.1
LiveCycle Data Services 3.0, 2.6.1 och 2.5.1
Flex Data Services 2.0.1
ColdFusion 9.0, 8.0.1, 8.0 och 7.0.2
BlazeDS
Krav: BlazeDS 3.2 måste vara installerat.
Installationsanvisningar
1. Ladda ned zip-filen för BlazeDS 3.2-patchen och extrahera innehållet till det lokala filsystemet.
2. Kopiera filen flex-messaging-core.jar till katalogen /WEB-INF/lib/ för den BlazeDS-webbapplikation du vill tillämpa programfixen på.
Obs! För nightly build-versioner av BlazeDS Trunk branch eller BlazeDS 3.x branch rekommenderar vi att användare uppdaterar till senaste nightly build. Problemet har lösts i BlazeDS 3.x 12617 (och senare versioner) och BlazeDS Trunk 12583 (och senare versioner).
LiveCycle 9.0
Krav: LiveCycle 9.0 måste vara installerat.
Installationsanvisningar
1. Ladda ner zip-filen för LiveCycle 9.0-patchen.
2. Extrahera zip-filen i serverdatorn.
3. Gå till mappen <PatchFolder>/<AppServer>_build_configuration/Disk1/InstData/<OS>/VM.
Exempel: i Windows-/JBoss-installationer går du till <PatchFolder>\JBoss_build_configuration\Disk1\InstData\Windows\VM
och i Linux-/Weblogic-installationer går du till <PatchFolder>/WebLogic_build_configuration/Disk1/InstData/Linux/NoVM
4. Kör följande fil för att starta patch-installeraren:
I Windows: lces2_qf_install.exe
I Unix: lces2_qf_install.bin
5. Fönstret Adobe LiveCycle ES2 Quick Fix Patch med introduktionsruta visas. Klicka på Next.
6. I Choose Install Folder-rutan anger du sökvägen till där LiveCycle ES2 finns installerat.
Exempel: i Windows: C:\Adobe\Adobe LiveCycle ES2
och i Linux: /opt/adobe/adobe_livecycle_es2
Klicka på Next.
7. Läs protokollet för snabbfixpatchen i rutan Quick Fix Patch Summary. Klicka på Next.
8. Läs förinstallationsprotokollet innan du fortsätter till rutan Pre-Installation Summary. Klicka på Install
9. De uppdaterade filerna har installerats. Klicka på Next för att ersätta de befintliga filerna med de uppdaterade filerna.
10. I rutan Installation Complete markerar du kryssrutan Start LiveCycle Configuration Manager och klickar på Done.
11. Fönstret Adobe LiveCycle Configuration Manager öppnas. Du kan nu konfigurera och köra den patchade versionen av LiveCycle ES2.
LiveCycle 8.2.1
Krav: LiveCycle 8.2.1 måste vara installerat.
Installationsanvisningar
1. Ladda ned zip-filen för LiveCycle 8.2.1-patchen.
2. Extrahera zip-filen i en patch-mapp och kopiera patch-mappen för ditt operativsystem till serverdatorn.
3. Gå till mappen <PatchFolder>/<OS>_build_configuration/disk1.
Exempel: i Windows-installationer går du till <PatchFolder>\x86_win32_build_configuration\disk1
och i Linux-installationer går du till <PatchFolder>/x86_linux_build_configuration/disk1
4. Kör följande fil för att starta patch-installeraren:
Windows: adobe_livecycle_8_2_qf.exe
Unix: adobe_livecycle_8_2_qf.bin
5. Ett InstallShield-fönster öppnas. Välj språk för guiden och klicka på OK.
6. Fönstret LiveCycle ES Quick Fix Installer med introduktionsruta öppnas. Klicka på Next.
7. I rutan Configuration anger du sökvägen till rotkatalogen för LiveCycle ES.
Exempel: i Windows anger du: C:\Adobe\LiveCycle8.2
och i Linux anger du: /opt/adobe/livecycle8.2
Klicka på Next.
8. Läs snabbfixprotokollet och klicka på Next.
9. Läs Quick Fix Summary (fortsättning) i rutan Review innan du fortsätter. Klicka på Install
10. Adobe LiveCycle ES Quick Fix Installer är klar med filkopieringen. Klicka på Next för att tillämpa Quick Fix-uppdaterinarna på de installerade filerna.
11. I rutan Quick Fix Installation Completion markerar du kryssrutan Start LiveCycle Configuration Manager och klickar på Finish.
12. Fönstret Adobe LiveCycle Configuration Manager öppnas. Du kan nu konfigurera, köra och validera den patchade versionen av LiveCycle ES.
LiveCycle 8.0.1
Krav: LiveCycle 8.0.1 måste vara installerat.
Installationsanvisningar
1. Ladda ned zipfilen för LiveCycle 8.0.1-patchen.
2.Extrahera zip-filen i en patch-mapp och kopiera patch-mappen för ditt operativsystem i serverdatorn.
3. Gå till mappen <PatchFolder>/<OS>_build_configuration/disk1.
Exempel: i Windows-installationer går du till <PatchFolder>\x86_win32_build_configuration\disk1
och i Linux-installationer går du till <PatchFolder>/x86_linux_build_configuration/disk1
4. Kör följande fil för att starta patch-installeraren:
Windows: adobe_livecycle_8_0_qf.exe
Unix: adobe_livecycle_8_0_qf.bin
5. InstallShield-fönstret öppnas. Välj språk för guiden och klicka på OK
6. LiveCycle ES Quick Fix Installer-fönstret med introduktionsrutan öppnas. Klicka på Next.
7. I rutan Configuration anger du sökvägen till rotkatalogen för LiveCycle ES.
Exempel: i Windows: C:\Adobe\LiveCycle8
och i Linux: /opt/adobe/livecycle8
Klicka på Next.
8.Läs protokollet och klicka på Next.
9. Läs Patch Summary (fortsättning) i rutan Review innan du fortsätter. Klicka på Install.
10. Adobe LiveCycle ES Patch Installer är klar med filkopieringen. Klicka på Next för att tillämpa patch-uppdaterinarna på de installerade filerna.
11. I rutan Patch Installation Completion markerar du kryssrutan Start LiveCycle Configuration Manager och klickar på Finish.
12. Fönstret Adobe LiveCycle Configuration Manager öppnas. Du kan nu konfigurera, köra och validera den patchade versionen av LiveCycle ES.
LiveCycle Data Services 2.5.1
Krav: LiveCycle Data Services 2.5.1 måste vara installerat.
Installationsanvisningar
1. Ladda ner zip-filen för LiveCycle Data Services 2.5.1-patchen och extrahera innehållet i ditt lokala filsystem.
2. Kopiera filerna flex-messaging.jar och flex-messaging-common.jar till katalogen /WEB-INF/lib/ för de LCDS-webbapplikationer du vill tillämpa programfixen på.
LiveCycle Data Services 2.6.1
Krav: LiveCycle Data Services 2.6.1 måste vara installerat.
Installationsanvisningar
1. Ladda ned zip-filen för Live Cycle Data Services 2.6.1-patchen och extrahera innehållet till det lokala filsystemet.
2. Kopiera filerna flex-messaging-core.jar och flex-messaging-common.jar till katalogen /WEB-INF/lib/ för de LCDS-webbapplikationer du vill tillämpa programfixen på.
LiveCycle Data Services 3.0
Krav: LiveCycle Data Services 3.0 måste vara installerat.
Installationsanvisningar
1. Ladda ned zip-filen för Live Cycle Data Services 3.0-patchen och extrahera innehållet till det lokala filsystemet.
2. Kopiera filerna flex-messaging-core.jar till katalogen /WEB-INF/lib/ för de LCDS-webbapplikationer du vill tillämpa programfixen på.
Flex Data Services 2.0.1
Krav: Flex Data Services 2.0.1 måste vara installerat.
Installationsanvisningar
1. Ladda ned zip-filen för Flex Data Services 2.0.1-patchen och extrahera innehållet till det lokala filsystemet.
2. Kopiera filerna flex-messaging.jar och flex-messaging-common.jar till katalogen /WEB-INF/lib/ för de FDS-webbapplikationer du vill tillämpa programfixen på.
ColdFusion
Installationsanvisningar finns här: http://kb2.adobe.com/cps/822/cpsid_82241.html*.
Obs! Technote-beskrivningen uppdaterades den 18 februari 2010. Alla ColdFusion-användare bör läsa technote*.
Adobe klassar säkerhetsluckorna som important* och rekommenderar användare att tillämpa uppdateringarna för respektive produktinstallation.
En sårbarhet som klassas som important* (CVE-2009-3960) har identifierats i BlazeDS 3.2 och tidigare versioner. När programmet behandlar inkommande förfrågningar kan XML-externa enhetsreferenser och injicerade taggar resultera i att information avslöjas. Avslöjandet av information begränsas till filer som kan läsas av serverprocesser som kör BlazeDS, som kan innehålla känslig information i vissa kundmiljöer. Problemet berör LiveCycle 9.0, 8.2.1 och 8.0.1, samt ColdFusion 9.0, 8.0.1, 8.0 och 7.0.2, som installeras med olika versioner av Data Services-produkter. Adobe har en lösning för den rapporterade säkerhetsluckan för alla drabbade Adobe-produkter. Vi rekommenderar att användare uppdaterar sina installationer av samtliga berörda Adobe-produkter till den senaste versionen enligt instruktionerna ovan.
Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
18 februari 2010 – bulletinen uppdaterades med ett meddelande om att technote-beskrivningen för ColdFusion hade uppgraderats
11 februari 2010 – bulletinen skapades
