Problema
Vulnerabilidades críticas de segurança foram relatadas para o Apache Log4j2, uma biblioteca de logon popular para aplicativos baseados em Java. As seguintes vulnerabilidades foram analisadas:
| Vulnerabilidade | O que foi impactado | O que não é impactado? | Status |
| CVE-2021-44228 |
|
|
Elas foram corrigidas. Veja a seção Resolução para correções e etapas de atenuação. |
| CVE-2021-45046 | |||
| CVE-2021-45105 | Nenhum impacto em qualquer versão do Experience Manager Forms nas configurações de logon prontas para uso. Se você tiver configurações de logon adicionais, verifique essas configurações em busca dessas vulnerabilidades. |
||
| CVE-2021-44832 | |||
| CVE-2021-4104 | |||
| CVE-2022-22963 | |||
| CVE-2022-22965 | |||
| CVE-2020-9488 | |||
| CVE-2022-23302 | |||
O AEM 6.5.13.0 Forms e versões anteriores incluem as bibliotecas Log4j (1.x e 2.17.1). As bibliotecas AEM Forms Log4j 1.x no AEM 6.5.13.0 Forms e versões anteriores não fazem parte da vulnerabilidade relatada, nem são consideradas vulneráveis em verificações de código do AEM Forms realizadas pelo Adobe. No entanto, todas as bibliotecas do Log4j 1.x são removidas na versão 6.5.14. Para obter instruções sobre como instalar o AEM 6.5.14.0 ou uma versão posterior, consulte notas de versão.
Solução
Você pode usar um dos seguintes métodos para reduzir o risco dessa vulnerabilidade:
- Instalar o pacote de serviços mais recente
- Usar etapas de mitigação manual
Instalar o pacote de serviços mais recente
Se você tiver aplicado um hotfix no ambiente Experience Manager Forms Service Pack 6.3.3.8 ou Experience Manager Forms Service Pack 6.4.8.4, não instale o pacote de serviços com as correções de vulnerabilidades (listadas abaixo). A instalação desses pacotes de serviços pode substituir o hotfix. A Adobe recomenda usar etapas de mitigação manual em tal cenário.
| Lançamento | Versão | Link de download/ação do usuário |
| Experience Manager 6.5 Forms no JEE | AEMForms-6.5.0-0038 (log4jv2.16) |
Baixar de Distribuição de software.
|
| Experience Manager 6.4 Forms no JEE | AEMForms-6.4.0-0027 | |
| Experience Manager 6.3 Forms no JEE |
AEMForms-6.3.0-0047 | |
| Experience Manager 6.5 Forms Designer | AEM Forms Designer v650.019 | |
| Experience Manager 6.4 Forms Designer | AEM Forms Designer v640.012 | |
| Serviço de conversão automatizada do Forms | As etapas de mitigação foram identificadas e o serviço foi corrigido. | Não há nenhuma ação do usuário. |
Usar etapas de mitigação manual
Para mitigar o problema, para o Experience Manager 6.5 Forms (log4j-core versão 2.10 e posterior), Experience Manager 6.4 Forms (log4j-core versão anterior à 2.10) e Experience Manager 6.3 Forms (log4j-core versão anterior à 2.10), execute as seguintes etapas:
1. Encerre todas as instâncias e localizadores do servidor.
2. Remover org/apache/logging/log4j/core/lookup/JndiLookup.class do log4j-core-2.xx.jar vulnerável disponível nos seguintes locais:
- EAR Implantável: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
- Localizador de GemFire ou Geode:
<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
- (Linux com Oracle WebLogic ou Redhat JBoss): execute o seguinte comando. Atualize a <version> e informações do servidor de aplicativos antes de executar esses comandos:
- unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
- zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
- (Linux com IBM WebSphere): execute o seguinte comando. Atualize a <version> e informações do servidor de aplicativos antes de executar esses comandos:
- unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
- zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- (Microsoft Windows): Use uma ferramenta de GUI como 7-Zip para remover o arquivo de classe.
3. Repita a etapa 2 para cada instância (nó) do servidor de aplicativos e todos os localizadores (se houver mais de um).
4. Depois de atualizar o jar, reimplante o EAR modificado e reinicie todos os processos do localizador e instâncias do servidor.
- Substitua a cópia original do jar log4j-core-2.xx pela cópia atualizada. Nenhuma outra alteração é necessária.
- Quando o gerenciador de configuração for executado novamente, o conteúdo de <FORMS_INSTALLATION_DIRECTORY
>/configurationManager/export pode ser substituído. Para evitar refazer a alteração acima toda vez que isso ocorrer, atualize o jar em <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Isso garante que o adobe-livecycle-[jboss|weblogic|websphere].ear produzido pelo gerenciador de configuração já tenha o jar log4j-core-2.xx atualizado.
- As modificações manuais nos artefatos implantáveis podem ser substituídas na correção/atualização. Se isso acontecer, reaplique o procedimento.
Referências
Com quem devo entrar em contato se tiver dúvidas adicionais ou problemas ao executar as etapas de mitigação?
Você pode entrar em contato com o Suporte da Adobe ou criar um tíquete de suporte.
Com quem devo entrar em contato se tiver dúvidas adicionais ou problemas ao executar as etapas de mitigação?
