BlazeDS セキュリティアップデート公開

BlazeDS 3.2 及びそれ以前のバージョンに重要な脆弱性が発見されました。ある種のリクエストデータを処理すると、BlazeDS を実行中のプロセスが読み取り権限のあるファイルにアクセスできてしまうというものです。

この問題は BlazeDS を含め以下の製品が影響を受けます。

  • BlazeDS 3.2 とそれ以前
  • LiveCycle 9.0, 8.2.1, 8.0.1
  • LiveCycle Data Services 3.0, 2.6.1, 2.5.1
  • Flex Data Services 2.0.1
  • ColdFusion 9.0, 8.0.1, 8.0, 7.0.2

関連する製品を利用している環境では速やかに更新することが推奨されています。

BlazeDS の更新方法は以下の通りです。

  1. BlazeDS 3.2 がインストールされていない場合は 3.2 をインストール
  2. パッチファイルをダウンロード (blz32_hf_12617.zip: 581KB) して、ZIP ファイルを展開
  3. flex-messaging-core.jar を BlazeDS の /WEB-INF/lib/ ディレクトリ下にコピー

注: nightly builds を利用している場合は、BlazeDS 3.x build 12617 (またはそれ以降) and BlazeDS Trunk build 12583 (またはそれ以降)をご利用ください。この問題は対応済みです。

LCDS 等それ以外の製品での対応方法はこちらのページをご覧ください。(Security update available for BlazeDS

トラックバック(0)

トラックバックURL: http://cuaoar.jp/mt4/mt-tb.cgi/8

コメントする

2014年1月

Sun Mon Tue Wed Thu Fri Sat
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
レンタルサーバー

月別 アーカイブ

Powered by Movable Type 4.261