Adobe a conscience d’une vulnérabilité de désérialisation dans la bibliothèque Apache commons-collections. La vulnérabilité peut entraîner l’exécution de code à distance et affecter les clients à l’aide des serveurs d’applications Oracle WebLogic, IBM WebSphere et Red Hat JBoss.

Suivez les étapes ci-après pour résoudre ce problème :

  1. Installer des correctifs de sécurité pour votre serveur d’applications :

    Le tableau suivant répertorie les avertissements de protection ou des notifications à propos de la vulnérabilité, publiés par Oracle, IBM et Red Hat.

    Les clients utilisant ces technologies peuvent obtenir directement des fournisseurs de serveurs d’applications des correctifs de sécurité et les mettre en pratique comme recommandé. Les clients utilisant JBoss clé en main et ne disposant pas de contrat d’assistance avec Red Hat peuvent contacter le service clientèle d’Adobe pour obtenir des correctifs JBoss lorsque Red Hat les rend disponibles.

  2. Téléchargez et installez le hotfix-NPR-8364 :

    1. Connectez-vous à l’instance AEM en tant qu’administrateur et ouvrez le partage de package. L’URL par défaut du partage de package est http://[serveur]:[port]/crx/packageshare.

    2. Dans le partage de package, recherchez CQ-ALL-hotfix-NPR-8364, cliquez sur le package, puis sur Télécharger. Lisez et acceptez le contrat de licence en cliquant sur OK. Le téléchargement démarre. Une fois le téléchargement effectué, le mot Téléchargé apparaît en regard du package.

      Vous pouvez également utiliser l’hyperlien http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb pour télécharger manuellement un package.

    3. Une fois le téléchargement terminé, cliquez sur Téléchargé. Vous êtes redirigé vers le gestionnaire de package.  Dans le gestionnaire de packages, recherchez le package téléchargé, puis cliquez sur Installer.

      Si vous téléchargez manuellement le package via un lien direct, ouvrez le gestionnaire de packages, cliquez sur Télécharger le package, puis sélectionnez le package téléchargé et cliquez sur Télécharger. Une fois le téléchargement terminé, cliquez sur le nom du package, puis sur Installer. L’URL par défaut du Gestionnaire de packages est http://[serveur]:[port]/lc/crx/packmgr/index.jsp.

    4. Une fois le package installé, ouvrez l’URL http://[hôte]:[port]/lc/libs/cq/sercheck/run/tester.html dans la fenêtre du navigateur et téléchargez le fichier notsoserial-[version].jar.   

      Copiez le fichier téléchargé notsoserial-[version].jar sur le serveur disposant des formulaires AEM déployés.

      Remarque :

      Assurez-vous que l’utilisateur exécutant le serveur d’applications dispose d’autorisations pour lire et écrire dans le répertoire du serveur contenant le fichier jar téléchargé.

    5. Ajoutez l’argument JVM suivant au script de démarrage du serveur d’applications :

      -javaagent:[path]/notsoserial-[version]

      [chemin] correspond à l’emplacement sur le serveur contenant le fichier notsoserial-[version].jar.

    6. Redémarrez le serveur d’applications.

    7. Ouvrez l’URL http://[hôte]:[port]/lc/libs/cq/sercheck/run/tester.html dans une fenêtre de navigateur. Assurez-vous que les résultats du test de sérialisation sont définis à OK.

  3. Si vous utilisez un module externe de protection des formulaires Adobe Experience Manager ou LiveCycle Rights Management, installez la solution rapide concernée :

    Version du produit
    Retouche rapide
    Les formulaires d’Adobe Experience Manager 6,1 affichent pack 1

    Correctif 1034-010

    Correctif 1048-010

    Correctif 1049-011

    Formulaires Adobe Experience Manager 6.0 Correctif 1020-005
    LiveCycle ES4 SP1

    Correctif 1126-016

    Correctif 1134-011

    Correctif 1137-011

    Correctif 1141-043

    LiveCycle ES3 SP2 Correctif 1058-012

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne