问题
已报告 Apache Log4j2(一款基于 Java 的应用程序的常用记录库)存在的严重安全漏洞。已分析以下漏洞:
漏洞 | 受影响的内容 | 哪些内容未受影响? | 状态 |
CVE-2021-44228 |
|
|
这些已被修复。 请参阅解决方法部分,获取修补程序和缓解步骤。 |
CVE-2021-45046 | |||
CVE-2021-45105 | 对于开箱即用的记录配置,任何 Experience Manager Forms 版本都未受影响。如果您有任何其他记录配置,请检查这些配置是否存在这些漏洞。 |
||
CVE-2021-44832 | |||
CVE-2021-4104 | |||
CVE-2022-22963 | |||
CVE-2022-22965 | |||
CVE-2020-9488 | |||
CVE-2022-23302 |
AEM 6.5.13.0 Forms 及更早版本包含这两种 Log4j 库(1.x 和 2.17.1)。AEM 6.5.13.0 Forms 及更早版本中的 AEM Forms Log4j 1.x 库不在报告的漏洞之列,也未在由 Adobe 执行的 AEM Forms 代码扫描中标注为易受攻击。但是,所有 Log4j 1.x 库都将在 6.5.14 版本中删除。有关安装 AEM 6.5.14.0 或更高版本的说明,请参阅发行说明。
解决方法
您可以使用以下方法之一来降低此漏洞的风险:
- 安装最新的服务包
- 采用手动缓解步骤
安装最新的服务包
如果您已在 Experience Manager Forms 服务包 6.3.3.8 或 Experience Manager Forms 服务包 6.4.8.4 环境中应用了修补程序,则请勿安装包含漏洞修补程序的服务包(如下所示)。安装这些服务包可能会覆盖修补程序。在这种情况下,Adobe 建议采用手动缓解步骤。
发行 | 版本 | 下载链接/用户操作 |
JEE 上的 Experience Manager 6.5 Forms | AEMForms-6.5.0-0038 (log4jv2.16) |
从软件分发下载。
|
JEE 上的 Experience Manager 6.4 Forms | AEMForms-6.4.0-0027 | |
JEE 上的 Experience Manager 6.3 Forms |
AEMForms-6.3.0-0047 | |
Experience Manager 6.5 Forms Designer | AEM Forms Designer v650.019 | |
Experience Manager 6.4 Forms Designer | AEM Forms Designer v640.012 | |
自动表单转换服务 | 确定了缓解步骤并修补了服务。 | 没有用户操作。 |
使用手动缓解步骤
要针对 Experience Manager 6.5 Forms(log4j-core 版本 2.10 及更高版本)、Experience Manager 6.4 Forms(版本低于 2.10 的 log4j-core)和 Experience Manager 6.3 Forms(版本低于 2.10 的 log4j-core)缓解此问题,请执行以下步骤:
1. 关闭所有服务器实例和定位器。
2. 从位于以下位置的易受攻击的 log4j-core-2.xx.jar 中移除 org/apache/logging/log4j/core/lookup/JndiLookup.class:
- 可部署 EAR: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
- GemFire 或 Geode 定位器:
<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
- (具有 Oracle WebLogic 或 Redhat JBoss 的 Linux):运行以下命令。更新 <version> 和应用程序服务器信息,然后运行以下命令:
- unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
- zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
- (具备 IBM WebSphere 的 Linux):运行以下命令。更新 <version> 和应用程序服务器信息,然后运行以下命令:
- unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
- zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- (Microsoft Windows):使用 7-Zip 等 GUI 工具删除类文件。
3. 对每个应用程序服务器实例(节点)和所有定位器(如有多个)重复步骤 2。
4. 更新 jar 后,重新部署修改过的 EAR 并重启所有定位器进程和服务器实例。
- 将 log4j-core-2.xx jar 的原始副本替换为更新后的副本。 无需进行其他更改。
- 再次运行配置管理器时,可能会覆盖 <FORMS_INSTALLATION_DIRECTORY
>/configurationManager/export 的内容。 要避免每次发生此情况时都重新执行上述更改,请更新 <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear 中的 jar。这可确保配置管理器生成的 adobe-livecycle-[jboss|weblogic|websphere].ear 已具有更新后的 log4j-core-2.xx jar。
- 在安装补丁/升级时,可能会覆盖对可部署工件所做的手动修改。如果发生这种情况,请重新执行该过程。
参考