Réduire les vulnérabilités Log4j2 pour Experience Manager Forms

Problème

Des vulnérabilités en matière de sécurité critiques ont été signalées pour Apache Log4j2, une bibliothèque de journalisation populaire pour les applications Java. Les vulnérabilités suivantes ont été analysées :

Vulnérabilité Qu’est-ce qui est impacté ? Qu’est-ce qui n’est pas impacté ? Statut
CVE-2021-44228
  • Experience Manager 6.5 Forms sur JEE (toutes les versions, de la version 6.5 GA à la version 6.5.11)
  • Experience Manager 6.4 Forms sur JEE (toutes les versions, de la version 6.4 GA à la version 6.4.8)
  • Experience Manager 6.3 Forms sur JEE (toutes les versions, de la version 6.3 GA à la version 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Service de conversion de formulaires automatisée
  • Workbench Experience Manager Forms (toutes les versions)
  • Experience Manager Forms sur OSGi (toutes les versions)
Ils ont été corrigés. Voir la section Résolution pour les étapes de correction et de réduction.
CVE-2021-45046
CVE-2021-45105 Aucun impact sur les versions d’Experience Manager Forms pour les configurations de journalisation prêtes à l’emploi. Si vous disposez de configurations de journalisation supplémentaires, vérifiez-les pour les vulnérabilités suivantes.  

 
CVE-2021-44832
CVE-2021-4104  
CVE-2022-22963  
CVE-2022-22965  
CVE-2020-9488  
CVE-2022-23302  

 

Remarque :

AEM version 6.5.13.0 Forms et les versions antérieures comprennent les bibliothèques Log4j (1.x et 2.17.1). Les bibliothèques AEM Forms Log4j 1.x dans AEM 6.5.13.0 Forms et les versions antérieures ne font pas partie de la vulnérabilité signalée et ne sont pas non plus considérées comme vulnérables dans les analyses de code AEM Forms effectuées par Adobe. Cependant, toutes les bibliothèques Log4j 1.x sont supprimées dans la version 6.5.14. Pour obtenir des instructions sur l’installation d’AEM version 6.5.14.0 ou une version ultérieure, consultez les notes de mise à jour.

Résolution

Vous pouvez utiliser l’une des méthodes suivantes pour réduire le risque de cette vulnérabilité :

  • Installer le dernier pack de services
  • Utiliser les étapes de réduction manuelles  

Installer le dernier pack de services

Attention :

Si vous avez appliqué un correctif logiciel sur l’environnement du pack de services Experience Manager Forms 6.3.3.8 ou du pack de services Experience Manager Forms 6.4.8.4, n’installez pas le pack de services avec les correctifs de vulnérabilités (répertoriés ci-dessous). L’installation de ces packs de services pourrait remplacer le correctif. Adobe recommande d’utiliser les étapes de réduction manuelle dans un tel scénario.

Version Version   Lien de téléchargement/action utilisateur
Experience Manager 6.5 Forms sur JEE AEMForms-6.5.0-0038 (log4jv2.16)
Télécharger à partir de Distribution logicielle.

 

 

Experience Manager 6.4 Forms sur JEE   AEMForms-6.4.0-0027
Experience Manager 6.3 Forms sur JEE 
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer AEM Forms Designer v640.012
Service de conversion de formulaires automatisée Les étapes de réduction ont été identifiées et le service a été réparé. Il n’y a aucune action de l’utilisateur.

Utiliser les étapes de réduction manuelle

Pour atténuer ce problème, pour Experience Manager 6.5 Forms (log4j-core version 2.10 et versions ultérieures), Experience Manager 6.4 Forms (log4j-core version antérieure à 2.10) et Experience Manager 6.3 Forms (log4j-core version antérieure à 2.10), effectuez les étapes suivantes : 

1. Arrêter toutes les instances de serveur et tous les localisateurs.

2. Supprimer org/apache/logging/log4j/core/lookup/JndiLookup.class à partir du fichier log4j-core-2.xx.jar vulnérable disponible aux emplacements suivants :

  • EAR déployable : <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
  • Localisateur GemFire ou Geode : 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
Pour mettre à jour des fichiers EAR déployables, en fonction de votre système d’exploitation, vous pouvez utiliser l’une des méthodes suivantes pour supprimer JndiLookup.class du fichier log4j-core-2.xx.jar vulnérable :
  • (Linux avec Oracle WebLogic ou Redhat JBoss) : exécutez la commande suivante. Mettez à jour la version <version> ainsi que les informations sur le serveur d’applications avant d’exécuter les commandes suivantes :
    • unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    • zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
  • (Linux avec IBM WebSphere) : Exécutez la commande suivante. Mettez à jour la version <version> ainsi que les informations sur le serveur d’applications avant d’exécuter les commandes suivantes :
    • unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    • zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • (Microsoft Windows) : utilisez un outil d’interface utilisateur graphique tel que 7-Zip pour supprimer le fichier de classe.  

3. Répétez l’étape 2 pour chaque instance (nœud) de serveur d’applications et tous les localisateurs (le cas échéant). 

4. Après avoir mis à jour le fichier jar, redéployez le fichier EAR modifié et redémarrez tous les processus du localisateur et toutes les instances de serveur.

Remarque :
  • Remplacez la copie originale du fichier jar log4j-core-2.xx par la copie mise à jour. Aucune autre modification n’est requise.
  • Lorsque Configuration Manager est à nouveau exécuté, le contenu de <FORMS_INSTALLATION_DIRECTORY
    >/configurationManager/export
    peut être écrasé.   Pour éviter de rétablir la modification ci-dessus à chaque fois que cela se produit, mettez à jour le fichier jar dans <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Cela permet de s’assurer que le fichier adobe-livecycle-[jboss|weblogic|websphere].ear produit par Configuration Manager possède déjà le fichier jar log4j-core-2.xx mis à jour.
  • Les modifications manuelles apportées aux artefacts déployables peuvent être écrasées lors de l’application d’un correctif ou de la mise à niveau. Si cela se produit, réappliquez la procédure. 

Références

Qui dois-je contacter si j’ai d’autres questions ou des problèmes lors de l’exécution des étapes de réduction ?

Vous pouvez contacter l’assistance technique d’Adobe ou ouvrir un ticket de support.

Qui dois-je contacter si j’ai d’autres questions ou des problèmes lors de l’exécution des étapes de réduction ?

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?