Deserialisierungs-Schwachstelle in der Apache Commons-Collections-Bibliothek

Adobe ist auf eine Deserialisierungsanfälligkeit in der Apache Commons-Collections-Bibliothek aufmerksam geworden. Die Schwachstelle kann zur Remote-Code-Ausführung führen und Auswirkungen auf Kunden mit Oracle WebLogic-, IBM WebSphere- und Red Hat JBoss-Anwendungsservern haben.

Führen Sie die folgenden Schritte aus, um die Schwachstelle zu beheben:

  1. Installieren Sie Sicherheitsupdates für Ihren Anwendungsserver:

    In der folgenden Tabelle sind die Sicherheitswarnungen oder -hinweise aufgeführt, die Oracle, IBM und Red Hat für die Schwachstelle veröffentlicht haben.

    Kunden, die diese Technologien verwenden, wird empfohlen, die Sicherheitsupdates direkt von den Anbietern des Anwendungsservers zu beziehen und sie wie empfohlen anzuwenden. Kunden, die den JBoss-Turnkey verwenden und keinen Supportvertrag mit Red Hat haben, können sich an den Enterprise-Support von Adobe wenden, um JBoss-Patches zu erhalten, wenn die Patches von Red Hat bereitgestellt werden.

  2. Laden Sie den Hotfix-NPR-8364 herunter und installieren Sie ihn:

    1. Melden Sie sich bei der AEM-Instanz als Administrator an und öffnen Sie die Paketfreigabe. Die standardmäßige URL der Paketfreigabe lautet http://[server]:[port]/crx/packageshare.

    2. Suchen Sie in der Paketfreigabe nach CQ-ALL-Hotfix-NPR-8364, klicken Sie auf das Paket und auf Herunterladen. Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf OK. Der Download wird ausgeführt. Nach dem Herunterladen erscheint neben dem Paket das Wort Heruntergeladen.

      Alternativ können Sie auch den Hyperlink http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb verwenden, um ein Paket manuell herunterzuladen.

    3. Nachdem das Herunterladen abgeschlossen ist, klicken Sie auf Heruntergeladen. Sie werden zum Paketmanager weitergeleitet.  Suchen Sie im Paket-Manager das heruntergeladene Paket und klicken Sie auf Installieren.

      Wenn Sie das Paket manuell über den direkten Link herunterladen, öffnen Sie den Paketmanager, klicken Sie auf Paket hochladen, wählen Sie das heruntergeladene Paket aus und klicken Sie auf Hochladen. Nachdem das Paket hochgeladen wurde, klicken Sie auf den Paketnamen und anschließend auf Installieren. Die standardmäßige URL des Paketmanagers lautet http://[server]:[port]/lc/crx/packmgr/index.jsp.

    4. Nachdem das Paket installiert wurde, öffnen Sie die URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html im Browserfenster und laden Sie notsoserial-[version].jar herunter.   

      Kopieren Sie die heruntergeladene notsoserial-[version].jar-Datei auf den Server, auf dem AEM-Formulare bereitgestellt werden.

      Hinweis:

      Stellen Sie sicher, dass der Benutzer, der den Anwendungsserver ausführt, Berechtigungen zum Lesen und Schreiben in das Serververzeichnis mit der heruntergeladenen JAR-Datei hat.

    5. Fügen Sie das folgende JVM-Argument zu dem Startup-Skript des Anwendungsservers hinzu:

      -javaagent:[path]/notsoserial-[version]

      [Pfad] ist der Speicherort auf dem Server, der die notsoserial-[version].jar-Datei enthält.

    6. Starten Sie den Anwendungsserver neu.

    7. Öffnen Sie die URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html in einem Browserfenster. Stellen Sie sicher, dass die Serialisierungstest-Ergebnisse auf OK eingestellt sind.

  3. Wenn Sie das Formular-Dokument-Sicherheits-Add-on von Adobe Experience Manager oder LiveCycle Rights Management verwenden, dann installieren Sie die entsprechende Schnell-Fehlerbehebung:

    Produktversion

    Schnellkorrektur

    Adobe Experience Manager 6.1 Formular-Funktions-Paket 1.

    Adobe Experience Manager 6.0-Formulare

    LiveCycle ES4 SP1

    LiveCycle ES3 SP2

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?