Problem
Für Apache Log4j2, eine beliebte Protokollierungsbibliothek für Java-basierte Programme, wurden kritische Sicherheitslücken gemeldet. Die folgenden Sicherheitslücken wurden untersucht:
| Sicherheitslücke | Was ist betroffen? | Was ist nicht betroffen? | Status |
| CVE-2021-44228 |
|
|
Diese wurden behoben. Siehe Abschnitt Auflösung zu Fehlerbehebungen und Schritten zur Risikominderung. |
| CVE-2021-45046 | |||
| CVE-2021-45105 | Keine Auswirkungen auf Experience Manager Forms-Versionen für vorkonfigurierte Protokollierungskonfigurationen. Wenn Sie zusätzliche Protokollierungskonfigurationen haben, überprüfen Sie diese Konfigurationen auf diese Sicherheitslücken. |
||
| CVE-2021-44832 | |||
| CVE-2021-4104 | |||
| CVE-2022-22963 | |||
| CVE-2022-22965 | |||
| CVE-2020-9488 | |||
| CVE-2022-23302 | |||
AEM 6.5.13.0 Forms und frühere Versionen enthalten beide Log4j-Bibliotheken (1.x und 2.17.1). Die AEM Forms Log4j 1.x-Bibliotheken in AEM 6.5.13.0 Forms und früheren Versionen sind weder Teil der gemeldeten Sicherheitslücke noch werden sie in den von Adobe durchgeführten AEM Forms-Code-Scans als anfällig eingestuft. Alle Log4j 1.x-Bibliotheken werden jedoch in Version 6.5.14 entfernt. Anweisungen zur Installation von AEM 6.5.14.0 oder einer späteren Version finden Sie unter Versionshinweise.
Lösung
Sie können eine der folgenden Methoden verwenden, um das Risiko dieser Sicherheitslücke zu verringern:
- Installieren Sie das neueste Service Pack
- Verwenden Sie manuelle Schritte zur Risikominderung
Installation des neuesten Service Packs
Wenn Sie einen Hotfix auf die Umgebung von Experience Manager Forms Service Pack 6.3.3.8 oder Experience Manager Forms Service Pack 6.4.8.4 angewendet haben, installieren Sie nicht das Service Pack mit den Fehlerbehebungen (siehe unten). Durch die Installation dieser Service Packs wird der Hotfix möglicherweise überschrieben. Adobe empfiehlt in einem solchen Fall manuelle Schritte zur Risikominderung.
| Release | Version | Download-Link / Benutzeraktion |
| Experience Manager 6.5 Forms on JEE | AEMForms-6.5.0-0038 (log4jv2.16) |
Download von Software Distribution.
|
| Experience Manager 6.4 Forms on JEE | AEMForms-6.4.0-0027 | |
| Experience Manager 6.3 Forms on JEE |
AEMForms-6.3.0-0047 | |
| Experience Manager 6.5 Forms Designer | AEM Forms Designer v650.019 | |
| Experience Manager 6.4 Forms Designer | AEM Forms Designer v640.012 | |
| Automated Forms Conversion Service | Die Schritte zur Risikominderung wurden ermittelt und der Service wurde gepatcht. | Es gibt keine Benutzeraktion. |
Verwenden Sie manuelle Schritte zur Risikominderung
Führen Sie für Experience Manager 6.5 Forms (log4j-core Version 2.10 und höher), Experience Manager 6.4 Forms (log4j-core Version niedriger als 2.10) und Experience Manager 6.3 Forms (log4j-core Version niedriger als 2.10) die folgenden Schritte aus, um das Problem zu beheben:
1. Fahren Sie alle Server-Instanzen und Locators herunter.
2. Entfernen Sie org/apache/logging/log4j/core/lookup/JndiLookup.class aus der anfälligen log4j-core-2.xx.jar-Datei, die an folgenden Stellen verfügbar ist:
- EAR-Datei zur Bereitstellung: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
- GemFire- oder Geode-Locator:
<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
- (Linux mit Oracle WebLogic oder Redhat JBoss): Führen Sie den folgenden Befehl aus. Aktualisieren Sie die <version> und die Informationen zum Anwendungs-Server, bevor Sie diese Befehle ausführen:
- unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
- zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
- (Linux mit IBM WebSphere): Führen Sie den folgenden Befehl aus. Aktualisieren Sie die <version> und die Informationen zum Anwendungs-Server, bevor Sie diese Befehle ausführen:
- unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
- zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- (Microsoft Windows): Verwenden Sie ein GUI-Tool wie 7-Zip, um die Klassendatei zu entfernen.
3. Wiederholen Sie Schritt 2 für jede Anwendungs-Server-Instanz (Knoten) und alle Locators (wenn mehr als einer).
4. Nach der Aktualisierung der JAR-Datei stellen Sie die geänderte EAR-Datei erneut bereit und starten Sie alle Locator-Prozesse und Server-Instanzen neu.
- Ersetzen Sie die Originalkopie der JAR-Datei log4j-core-2.xx durch die aktualisierte Kopie. Es sind keine weiteren Änderungen erforderlich.
- Wenn der Konfigurations-Manager erneut ausgeführt wird, kann der Inhalt von <FORMS_INSTALLATION_DIRECTORY
>/configurationManager/export überschrieben werden. Um zu vermeiden, dass die obige Änderung jedes Mal erneut durchgeführt werden muss, aktualisieren Sie die JAR-Datei in <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Dadurch wird sichergestellt, dass die vom Konfigurations-Manager erstellte adobe-livecycle-[jboss|weblogic|websphere].ear bereits die aktualisierte JAR-Datei „log4j-core-2.xx“ enthält.
- Manuelle Änderungen an bereitstellbaren Artefakten können beim Patchen/Aktualisieren überschrieben werden. Sollte dies passieren, führen Sie das Verfahren erneut durch.
Referenzen
An wen kann ich mich wenden, wenn ich zusätzliche Fragen habe oder Probleme bei der Durchführung der Schritte zur Risikominderung auftreten?
Sie können sich an den Adobe Support wenden oder ein Support-Ticket erstellen.
An wen kann ich mich wenden, wenn ich zusätzliche Fragen habe oder Probleme bei der Durchführung der Schritte zur Risikominderung auftreten?
