JVNDB-2015-004431

Adobe LiveCycle Data Services などの製品の flex-messaging-core.jar で使用される Apache Flex BlazeDS における任意のファイルを読まれる脆弱性

Adobe LiveCycle Data Services (LCDS) などの製品の flex-messaging-core.jar で使用される Apache Flex BlazeDS には、任意のファイルを読まれる脆弱性が存在します。

本件は、XML 外部エンティティ (XXE) の問題に関する脆弱性です。

アドビシステムズ

• Adobe LiveCycle Data Services 3.0.0.354170 未満の 3.0.x
• Adobe LiveCycle Data Services 4.5.1.354169 未満の 4.5
• Adobe LiveCycle Data Services 4.6.2.354169 未満の 4.6.2
• Adobe LiveCycle Data Services 4.7.0.354169 未満の 4.7

日立

• Hitachi Automation Director
• Hitachi Compute Systems Manager Software (海外版)
• Hitachi Compute Systems Manager Software (国内版)
• Hitachi Device Manager Software
• Hitachi IT Operations Director
• Job Management Partner 1/Automatic Operation
• Job Management Partner 1/IT Desktop Management 2 - Manager
• Job Management Partner 1/IT Desktop Management - Manager
• JP1/Automatic Operation
• JP1/IT Desktop Management 2 - Manager
• JP1/IT Desktop Management - Manager

アドビシステムズ製品に関して： Windows および Linux 上で稼働する上記バージョンの製品が、本脆弱性の影響を受けます。

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 HS16-005 他をご確認ください。

第三者により、エンティティ参照に関連する XML 外部エンティティ宣言を含む AMF メッセージを介して、任意のファイルを読まれる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

アドビシステムズ

• Adobe Security Bulletin : APSB15-20
• Adobe セキュリティ情報 : APSB15-20

日立

• Hitachi Software Vulnerability Information : HS16-005
• Hitachi Software Vulnerability Information : HS15-028
• Hitachi Software Vulnerability Information : HS16-009
• ソフトウェア製品セキュリティ情報 : HS16-005
• ソフトウェア製品セキュリティ情報 : HS15-028
• ソフトウェア製品セキュリティ情報 : HS16-009

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2015-3269

1. National Vulnerability Database (NVD) : CVE-2015-3269
2. 関連文書 : CVE-2015-3269 Apache Flex BlazeDS Insecure Xml Entity Expansion Vulnerability

• [2015年08月27日]
    掲載
  [2016年02月15日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日立 (HS16-005) を追加
  [2016年02月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日立 (HS15-028) を追加
  [2016年03月24日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日立 (HS16-009) を追加