Tavsiye, 2019

Editörün Seçimi

Adobe LiveCycle Data Services

Adobe Systems, Adobe® tarafından oluşturulan arka uç sunucular ve zengin İnternet uygulamaları arasındaki verileri senkronize etmek için işletmeler tarafından kullanılan bir geliştirme aracı olan LiveCycle Data Services için bir güvenlik düzeltme eki yayınladı. Flex veya AIR

Düzeltme LiveCycle Data Services 3.0.0, 4.5.1, 4.6.2 ve 4.7.0 için kullanılabilir ve bilgi açığa çıkmasına neden olabilecek bir güvenlik açığını giderir.

Kusur CVE olarak izlenir. -2015-3269, Ortak Güvenlik Açıkları ve Etkilenmeler veritabanında ve Adobe tarafından önem taşımaktadır.

[Daha fazla bilgi: Windows bilgisayarınızdan kötü amaçlı yazılım nasıl kaldırılır]

Sorun, hazırlanmış XML öğelerini ayrıştırmayla ilişkilendirilir ve XML Dış Varlık (XXE) olarak bilinen güvenlik açığı sınıfı.

Web kusurlarını önlemek için yönergeler üreten kar amacı gütmeyen bir kuruluş olan OWASP'a göre, bir uygulama harici bir öğeye başvuru içeren XML girdisini ayrıştırdığında XXE güvenlik açıkları ortaya çıkar.

Saldırı, hassas dosyaları bir sunucudan okumak, dahili portları taramak, sunucunun yerel ağına erişmek ve daha fazlası için kullanılabilir. Etki, çıkarılan verilerin türüne bağlıdır. Bazı durumlarda, bu tür bilgiler bir bilgisayar korsanının daha karmaşık bir saldırı planlamasına ya da yürütmesine izin verebilir.

Adobe, etkilenen LiveCycle Data Services uygulamasına yamanın uygulanmasına ilişkin ayrıntılı bilgiler içeren bir destek makalesi de yayınladı. Adımlar, flex-mesajlaşma-core.jar adlı bir dosyanın değiştirilmesi ve yapılandırma dosyasında allow-xml-external-varlık-genişletme seçeneğinin false olarak değiştirilmesidir.

Top