Problème
Des vulnérabilités en matière de sécurité critiques ont été signalées pour Apache Log4j2, une bibliothèque de journalisation populaire pour les applications Java. Les vulnérabilités suivantes ont été analysées :
Vulnérabilité | Qu’est-ce qui est impacté ? | Qu’est-ce qui n’est pas impacté ? | Statut |
CVE-2021-44228 |
|
|
Ils ont été corrigés. Voir la section Résolution pour les étapes de correction et de réduction. |
CVE-2021-45046 | |||
CVE-2021-45105 | Aucun impact sur les versions d’Experience Manager Forms pour les configurations de journalisation prêtes à l’emploi. Si vous disposez de configurations de journalisation supplémentaires, vérifiez-les pour les vulnérabilités suivantes. |
||
CVE-2021-44832 | |||
CVE-2021-4104 | |||
CVE-2022-22963 | |||
CVE-2022-22965 | |||
CVE-2020-9488 | |||
CVE-2022-23302 |
AEM version 6.5.13.0 Forms et les versions antérieures comprennent les bibliothèques Log4j (1.x et 2.17.1). Les bibliothèques AEM Forms Log4j 1.x dans AEM 6.5.13.0 Forms et les versions antérieures ne font pas partie de la vulnérabilité signalée et ne sont pas non plus considérées comme vulnérables dans les analyses de code AEM Forms effectuées par Adobe. Cependant, toutes les bibliothèques Log4j 1.x sont supprimées dans la version 6.5.14. Pour obtenir des instructions sur l’installation d’AEM version 6.5.14.0 ou une version ultérieure, consultez les notes de mise à jour.
Résolution
Vous pouvez utiliser l’une des méthodes suivantes pour réduire le risque de cette vulnérabilité :
- Installer le dernier pack de services
- Utiliser les étapes de réduction manuelles
Installer le dernier pack de services
Si vous avez appliqué un correctif logiciel sur l’environnement du pack de services Experience Manager Forms 6.3.3.8 ou du pack de services Experience Manager Forms 6.4.8.4, n’installez pas le pack de services avec les correctifs de vulnérabilités (répertoriés ci-dessous). L’installation de ces packs de services pourrait remplacer le correctif. Adobe recommande d’utiliser les étapes de réduction manuelle dans un tel scénario.
Version | Version | Lien de téléchargement/action utilisateur |
Experience Manager 6.5 Forms sur JEE | AEMForms-6.5.0-0038 (log4jv2.16) |
Télécharger à partir de Distribution logicielle.
|
Experience Manager 6.4 Forms sur JEE | AEMForms-6.4.0-0027 | |
Experience Manager 6.3 Forms sur JEE |
AEMForms-6.3.0-0047 | |
Experience Manager 6.5 Forms Designer | AEM Forms Designer v650.019 | |
Experience Manager 6.4 Forms Designer | AEM Forms Designer v640.012 | |
Service de conversion de formulaires automatisée | Les étapes de réduction ont été identifiées et le service a été réparé. | Il n’y a aucune action de l’utilisateur. |
Utiliser les étapes de réduction manuelle
Pour atténuer ce problème, pour Experience Manager 6.5 Forms (log4j-core version 2.10 et versions ultérieures), Experience Manager 6.4 Forms (log4j-core version antérieure à 2.10) et Experience Manager 6.3 Forms (log4j-core version antérieure à 2.10), effectuez les étapes suivantes :
1. Arrêter toutes les instances de serveur et tous les localisateurs.
2. Supprimer org/apache/logging/log4j/core/lookup/JndiLookup.class à partir du fichier log4j-core-2.xx.jar vulnérable disponible aux emplacements suivants :
- EAR déployable : <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
- Localisateur GemFire ou Geode :
<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
- (Linux avec Oracle WebLogic ou Redhat JBoss) : exécutez la commande suivante. Mettez à jour la version <version> ainsi que les informations sur le serveur d’applications avant d’exécuter les commandes suivantes :
- unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
- zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
- (Linux avec IBM WebSphere) : Exécutez la commande suivante. Mettez à jour la version <version> ainsi que les informations sur le serveur d’applications avant d’exécuter les commandes suivantes :
- unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
- zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- (Microsoft Windows) : utilisez un outil d’interface utilisateur graphique tel que 7-Zip pour supprimer le fichier de classe.
3. Répétez l’étape 2 pour chaque instance (nœud) de serveur d’applications et tous les localisateurs (le cas échéant).
4. Après avoir mis à jour le fichier jar, redéployez le fichier EAR modifié et redémarrez tous les processus du localisateur et toutes les instances de serveur.
- Remplacez la copie originale du fichier jar log4j-core-2.xx par la copie mise à jour. Aucune autre modification n’est requise.
- Lorsque Configuration Manager est à nouveau exécuté, le contenu de <FORMS_INSTALLATION_DIRECTORY
>/configurationManager/export peut être écrasé. Pour éviter de rétablir la modification ci-dessus à chaque fois que cela se produit, mettez à jour le fichier jar dans <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Cela permet de s’assurer que le fichier adobe-livecycle-[jboss|weblogic|websphere].ear produit par Configuration Manager possède déjà le fichier jar log4j-core-2.xx mis à jour.
- Les modifications manuelles apportées aux artefacts déployables peuvent être écrasées lors de l’application d’un correctif ou de la mise à niveau. Si cela se produit, réappliquez la procédure.
Références
Qui dois-je contacter si j’ai d’autres questions ou des problèmes lors de l’exécution des étapes de réduction ?
Vous pouvez contacter l’assistance technique d’Adobe ou ouvrir un ticket de support.
Qui dois-je contacter si j’ai d’autres questions ou des problèmes lors de l’exécution des étapes de réduction ?
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?