发布日期：2015-08-18
更新日期：2020-05-11

受影响系统：

Adobe ColdFusion <= 11 update 5
Adobe ColdFusion <= 10 update 16
Adobe LiveCycle Data Services 4.7.x < 4.7.0.354169
Adobe LiveCycle Data Services 4.6.2.x < 4.6.2.354169
Adobe LiveCycle Data Services 4.5.x < 4.5.1.354169
Adobe LiveCycle Data Services 3.1.x < 3.1.0.354173
Adobe LiveCycle Data Services 3.0.x <  3.0.0.354170
VMWare vCenter Server 5.5 < 5.5 update 3
VMWare vCenter Server 5.1 < 5.1 update u3b
VMWare vCenter Server 5.0 < 5.0 update u3e
Apache Group Flex BlazeDS < 4.7.1
VMWare vCloud Director 9.1.0.x < 9.1.0.2
VMWare vCloud Director 9.0.0.x < 9.0.0.3
VMWare vCloud Director 5.6.x < 5.6.4
VMWare vCloud Director 5.5.x < 5.5.3
VMWare Horizon View 6.x < 6.1
VMWare Horizon View 5.x < 5.3.4

描述：

---

BUGTRAQ  ID: 76394
CVE(CAN) ID: CVE-2015-3269

Apache Flex BlazeDS是用在Adobe LCDS中一个基于服务器的Java远程和Web消息推送组件。

Apache Flex BlazeDS在 BlazeDS Remoting/AMF协议的实现中，由于代码中并未禁止外部实体的解析，从而导致远程攻击者能够利用该漏洞通过AMF消息实现任意文件读取。

一些使用了BlazeDS的软件产品同样也会受到影响。这些软件包括来自Adobe的ColdFusion 和 LiveCycle Data Services、Vmware的vCenter Server、 vCloud Director 和Horizon View。使用了BlazeDS的客户端软件，如 BurpSuite 也受影响。

<*来源：Matthias Kaiser
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：


Apache Flex BlazeDS
https://flex.apache.org/download-blazeds.html
Adobe ColdFusion
https://helpx.adobe.com/cn/security/products/coldfusion/apsb15-21.html
l  Adobe LiveCycle Data Services
https://helpx.adobe.com/security/products/livecycleds/apsb15-20.html
l  Vmware vCenter Server、 vCloud Director 和Horizon View
https://www.vmware.com/security/advisories/VMSA-2015-0008.html

浏览次数：943
严重程度：0（网友投票）