Gehen Sie zu der Author-Systemkonsole, indem Sie zu dieser URL gehen:
- http://serveraddress:serverip/system/console/bundles
Vor kurzen wurde in einem AEM-Pfad eine Server Side Request Forgery-Schwachstelle gefunden, die dazu missbraucht werden kann, um Rollenanmeldeinformationen der IAM-Instanzen aus dem Metadatendienst der AWS- oder Azure-Instanz durchsickern zu lassen. Diese Schwachstelle wurde im Salesforce MCM-Bundle entdeckt.
Eine anfällige AEM-Instanz gibt temporäre API-Schlüssel zurück. Diese API-Schlüssel laufen innerhalb von Stunden ab und haben Berechtigungen, die der Rolle des ManagedServicesBigBearInstance entsprechen.
Die bevorzugte Schadensminderung ist die Deaktivierung des Salesforce-Bundles. Befolgen Sie dazu die folgenden Anweisungen:
Gehen Sie zu der Author-Systemkonsole, indem Sie zu dieser URL gehen:
Suchen Sie nach com.day.cq.mcm.cq-mcm-salesforce. Wenn Sie es gefunden haben, drücken Sie den Stopp-Button in der rechten Ecke des Bundles, um es zu stoppen.
Löschen Sie den Dispatcher-Cache, indem Sie diese Befehle im Gerät ausführen:
cd /mnt/var/www/html
Nachdem Sie zum richtigen Speicherort gewechselt haben, löschen Sie den Cache, indem Sie Folgendes ausführen:
rm -rf ./libs/*
Bestätigen Sie abschließend, dass die URLs die Schlüsselinformationen nicht zurückgeben. Sie können dies tun, indem Sie auf diese beiden URLs zugreifen:
Überprüfen Sie zunächst, ob Sie die AEM Salesforce verwenden. Dazu können Sie Folgendes tun:
Wenn der Dienst ausgeführt wird, gehen Sie wie folgt vor, um die Schadensmilderung anzuwenden:
Identifizieren Sie die Konfigurationsdatei, die die Dispatcher-Regeln steuert. Im Allgemeinen können Sie dies tun, indem Sie zu /etc/httpd/conf/ gehen und nach „*.any“-Dateien suchen, wie unten gezeigt:
Pfade und Dateinamen können abhängig von der Konfiguration Ihrer Instanz variieren.
cd /etc/httpd/conf/ cat dispatcher.any cat publish-farm.any
Wenn Sie die Datei identifiziert haben, sichern Sie sie an einem anderen Ort. Anschließend bearbeiten Sie die aktuelle Datei wie folgt:
cp publish-farm.any publish-farm.any.20180525 vi publish-farm.any
Fügen Sie nun diese Zeile der Konfigurationsdatei hinzu:
/9999 { /type "deny" /glob "GET *libs/mcm/salesforce/customer*" }
Überprüfen Sie die Konfiguration, indem Sie Folgendes ausführen:
apachectl configtest
Führen Sie die folgenden Befehle aus, um den httpd-Service neu zu starten:
service httpd reload service httpd status
Löschen Sie jetzt den Dispatcher-Cache:
cd /mnt/var/www/html rm -rf ./libs/*
Bestätigen Sie abschließend, dass die URLs nicht die Schlüsselinformationen zurückgeben, indem Sie auf folgende URLs zugreifen:
Wenn Sie die Salesforce-Integration verwenden, die oben genannte Schadensminderung jedoch fehlschlägt, können Sie alternativ die folgende Umschreibungsregel in jedem VirtualHost-Abschnitt des in der dispatcher_conf.any hinzufügen: