Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 20/11/2015
Både VMware og Adobe er kommet med sikkerhedsopdateringer til deres produkter, der fjerner sårbarheder i Apache Flex BlazeDS.Apache Flex BlazeDS blev oprindelig udviklet af Adobe, men er nu open source. Det er Java-baseret software til udvikling af client-server-applikationer.
VMware har udsendt opdateringer til vCenter Server, vCloud Director, Horizon. De lukker et hul, der kan give uvedkommende adgang til fortrolige oplysninger.
Apache lukkede hullet med Flex BlazeDS 4.7.1.
Adobe har udsendt opdateringer til LiveCycle DS og ColdFusion. De lukker et andet hul i BlazeDS af typen SSRF (Server Side Request Forgery).
Anbefaling
Opdater til en rettet version.
Links
- VMware Updates Products Due to Flaw in Apache Flex BlazeDS, artikel fra SecurityWeek
- VMSA-2015-0008: VMware product updates address information disclosure issue
- CVE-2015-3269: Apache Flex BlazeDS XXE Vulnerabilty, blogindlæg fra Code White
- Security Update Available for LiveCycle Data Services, APSB15-30
- Security Update: Hotfix available for ColdFusion, APSB15-29