Vulnerabilità di deserializzazione nella libreria di Apache common-collections

Adobe si è reso conto di una vulnerabilità di deserializzazione nella libreria di Apache commons-collections. La vulnerabilità può portare all'esecuzione remota del codice e ha un impatto sui clienti che utilizzano i server application Oracle WebLogic, IBM WebSphere e Red Hat JBoss.

Esegui i seguenti passaggi per risolvere il problema:

  1. Installare le correzioni di sicurezza per il server application:

    La seguente tabella elenca gli avvisi o consulenze di sicurezza che Oracle, IBM e Red Hat hanno rilasciato per la vulnerabilità.

    I clienti che utilizzano queste tecnologie sono invitati ad ottenere le correzioni di sicurezza direttamente dai fornitori di server application e ad applicarle come raccomandato. I clienti che utilizzano JBoss chiavi in mano, e che non hanno un contratto di supporto con Red Hat, possono contattare il supporto aziendale Adobe per ottenere le patch JBoss quando le patch sono rese disponibili da Red Hat.

  2. Scaricare e installare l'hotfix-NPR-8364:

    1. Accedi all'istanza AEM come amministratore e apri la condivisione del pacchetto. L'URL predefinito della condivisione del pacchetto è http://[server]:[port]/crx/packageshare.

    2. Nella condivisione del pacchetto, cerca CQ-ALL-hotfix-NPR-8364, fai clic sul pacchetto e fai clic su Download. Leggi e accetta il contratto di licenza e fai clic su OK. Il download comincia. Una volta scaricato, la parola Downloaded appare accanto al pacchetto.

      In alternativa, è anche possibile utilizzare il collegamento ipertestuale http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb per scaricare manualmente un pacchetto.

    3. Al termine del download, fai clic su Downloaded. Vieni reindirizzato al gestore di pacchetti.  Nel gestore dei pacchetti, cerca il pacchetto scaricato e fai clic su Installa.  

      Se scarichi manualmente il pacchetto tramite link diretto, apri il gestore dei pacchetti, fai clic su Carica pacchetto, seleziona il pacchetto scaricato e fai clic su Carica. Dopo aver caricato il pacchetto, fai clic sul nome del pacchetto e fai clic su Installa. L'URL predefinito della Gestione pacchetti è http://[server]:[port]/lc/crx/packmgr/index.jsp.            

    4. Dopo aver installato il pacchetto, apri il file http://[host]:[port]/lc/libs/cq/sercheck/run/tester.htmlURL nella finestra del browser, e scarica il file nonsoserial-[version].jar.   

      Copia il file nonsoserial-[version].jar scaricato sul server che ha distribuito i moduli AEM.

      Nota:

      Assicurati che l'utente che esegue l'application server abbia il permesso di leggere e scrivere nella directory del server contenente il file jar scaricato.

    5. Aggiungi il seguente argomento JVM allo script di avvio dell'application server:

      -javaagent:[path]/nonsoseriale-[versione]

      [path] è la posizione sul server contenente il file nonsoserial-[version].jar.

    6. Riavvia il server delle applicazioni.

    7. Apri l'URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html in una finestra del browser. Assicurati che i risultati del test di serializzazione siano impostati su OK.

  3. Se stai utilizzando Adobe Experience Manager per la sicurezza dei documenti o LiveCycle Rights Management, installa la soluzione rapida applicabile:

    Versione prodotto

    Correzione rapida

    Adobe Experience Manager 6.1 pacchetto di funzioni dei moduli 1

    Moduli Adobe Experience Manager 6.0

    LiveCycle ES4 SP1

    LiveCycle ES3 SP2

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?