Adobe LiveCycle és BlazeDS sérülékenységek

CH azonosító

CH-5057

Angol cím

Adobe LiveCycle / BlazeDS Two Vulnerabilities

Felfedezés dátuma

2011.06.14.

Súlyosság

Magas

Érintett rendszerek

Adobe
BlazeDS
LiveCycle
LiveCycle Data Services

Érintett verziók

Adobe BlazeDS 4.x
Adobe LiveCycle 8.x, 9.x
Adobe LiveCycle Data Services 2.x, 3.x

Összefoglaló

Az Adobe LiveCycle és BlazeDS két sérülékenységét jelentették, amelyeket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak vagy feltörhetik a sérülékeny rendszert.

Leírás

  1. Az objektumok deszerializációja (sorbarendezés megszüntetése) közben az AMF/AMFX adatok feldolgozása alatt fellépő hibát kihasználva tetszőleges osztály eljárásait le lehet futtatni.
    A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
  2. Bizonyos grafikai objektumok (pl. JFrame osztály) feldolgozásakor jelentkező hibát kihasználva szolgáltatás megtagadást (DoS – Denial of Service) lehet okozni.

A sérülékenységeket az alábbi verziókban jelentették:

  • LiveCycle Data Services 3.1, 2.6.1, 2.5.1 és korábbi verziók Windows, Macintosh és UNIX platformokon
  • LiveCycle 9.0.0.2, 8.2.1.3, 8.0.1.3 és korábbi verziók Windows, Macintosh és UNIX platformokon
  • BlazeDS 4.0.1 és korábbi kiadások

Megoldás

Telepítse a javítócsomagokat