Installare le correzioni di sicurezza per il server application:
Ultimo aggiornamento il
3 mag 2021
Adobe si è reso conto di una vulnerabilità di deserializzazione nella libreria di Apache commons-collections. La vulnerabilità può portare all'esecuzione remota del codice e ha un impatto sui clienti che utilizzano i server application Oracle WebLogic, IBM WebSphere e Red Hat JBoss.
Esegui i seguenti passaggi per risolvere il problema:
-
La seguente tabella elenca gli avvisi o consulenze di sicurezza che Oracle, IBM e Red Hat hanno rilasciato per la vulnerabilità.
Server application
Avviso o consulenza di sicurezza
Oracle WebLogic
WebSphere IBM
Red Hat JBoss
I clienti che utilizzano queste tecnologie sono invitati ad ottenere le correzioni di sicurezza direttamente dai fornitori di server application e ad applicarle come raccomandato. I clienti che utilizzano JBoss chiavi in mano, e che non hanno un contratto di supporto con Red Hat, possono contattare il supporto aziendale Adobe per ottenere le patch JBoss quando le patch sono rese disponibili da Red Hat.
-
Scaricare e installare l'hotfix-NPR-8364:
-
Accedi all'istanza AEM come amministratore e apri la condivisione del pacchetto. L'URL predefinito della condivisione del pacchetto è http://[server]:[port]/crx/packageshare.
-
Nella condivisione del pacchetto, cerca CQ-ALL-hotfix-NPR-8364, fai clic sul pacchetto e fai clic su Download. Leggi e accetta il contratto di licenza e fai clic su OK. Il download comincia. Una volta scaricato, la parola Downloaded appare accanto al pacchetto.
In alternativa, è anche possibile utilizzare il collegamento ipertestuale http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb per scaricare manualmente un pacchetto.
-
Al termine del download, fai clic su Downloaded. Vieni reindirizzato al gestore di pacchetti. Nel gestore dei pacchetti, cerca il pacchetto scaricato e fai clic su Installa.
Se scarichi manualmente il pacchetto tramite link diretto, apri il gestore dei pacchetti, fai clic su Carica pacchetto, seleziona il pacchetto scaricato e fai clic su Carica. Dopo aver caricato il pacchetto, fai clic sul nome del pacchetto e fai clic su Installa. L'URL predefinito della Gestione pacchetti è http://[server]:[port]/lc/crx/packmgr/index.jsp.
-
Dopo aver installato il pacchetto, apri il file http://[host]:[port]/lc/libs/cq/sercheck/run/tester.htmlURL nella finestra del browser, e scarica il file nonsoserial-[version].jar.
Copia il file nonsoserial-[version].jar scaricato sul server che ha distribuito i moduli AEM.
Nota:Assicurati che l'utente che esegue l'application server abbia il permesso di leggere e scrivere nella directory del server contenente il file jar scaricato.
-
Aggiungi il seguente argomento JVM allo script di avvio dell'application server:
-javaagent:[path]/nonsoseriale-[versione]
[path] è la posizione sul server contenente il file nonsoserial-[version].jar.
-
Riavvia il server delle applicazioni.
-
Apri l'URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html in una finestra del browser. Assicurati che i risultati del test di serializzazione siano impostati su OK.
-
-
Se stai utilizzando Adobe Experience Manager per la sicurezza dei documenti o LiveCycle Rights Management, installa la soluzione rapida applicabile:
Versione prodotto
Correzione rapida
Adobe Experience Manager 6.1 pacchetto di funzioni dei moduli 1
Moduli Adobe Experience Manager 6.0
LiveCycle ES4 SP1
LiveCycle ES3 SP2
