缓解 Experience Manager Forms 的 Log4j2 漏洞

问题

已报告 Apache Log4j2(一款基于 Java 的应用程序的常用记录库)存在的严重安全漏洞。已分析以下漏洞:

漏洞 受影响的内容 哪些内容未受影响? 状态
CVE-2021-44228
  • JEE 上的 Experience Manager 6.5 Forms(从 6.5 GA 到 6.5.11 的所有版本)
  • JEE 上的 Experience Manager 6.4 Forms(从 6.4 GA 到 6.4.8 的所有版本)
  • JEE 上的 Experience Manager 6.3 Forms(从 6.3 GA 到 6.3.3 的所有版本)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • 自动表单转换服务
  • Experience Manager Forms Workbench(所有版本)
  • OSGi 上的 Experience Manager Forms(所有版本)
这些已被修复。 请参阅解决方法部分,获取修补程序和缓解步骤。
CVE-2021-45046
CVE-2021-45105 对于开箱即用的记录配置,任何 Experience Manager Forms 版本都未受影响。如果您有任何其他记录配置,请检查这些配置是否存在这些漏洞。  

 
CVE-2021-44832
CVE-2021-4104  
CVE-2022-22963  
CVE-2022-22965  
CVE-2020-9488  
CVE-2022-23302  

 

注意:

AEM 6.5.13.0 Forms 及更早版本包含这两种 Log4j 库(1.x 和 2.17.1)。AEM 6.5.13.0 Forms 及更早版本中的 AEM Forms Log4j 1.x 库不在报告的漏洞之列,也未在由 Adobe 执行的 AEM Forms 代码扫描中标注为易受攻击。但是,所有 Log4j 1.x 库都将在 6.5.14 版本中删除。有关安装 AEM 6.5.14.0 或更高版本的说明,请参阅发行说明

解决方法

您可以使用以下方法之一来降低此漏洞的风险:

  • 安装最新的服务包
  • 采用手动缓解步骤

安装最新的服务包

注意:

如果您已在 Experience Manager Forms 服务包 6.3.3.8 或 Experience Manager Forms 服务包 6.4.8.4 环境中应用了修补程序,则请勿安装包含漏洞修补程序的服务包(如下所示)。安装这些服务包可能会覆盖修补程序。在这种情况下,Adobe 建议采用手动缓解步骤

发行 版本 下载链接/用户操作
JEE 上的 Experience Manager 6.5 Forms AEMForms-6.5.0-0038 (log4jv2.16)
软件分发下载。

 

 

JEE 上的 Experience Manager 6.4 Forms AEMForms-6.4.0-0027
JEE 上的 Experience Manager 6.3 Forms
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer AEM Forms Designer v640.012
自动表单转换服务 确定了缓解步骤并修补了服务。 没有用户操作。

使用手动缓解步骤

要针对 Experience Manager 6.5 Forms(log4j-core 版本 2.10 及更高版本)、Experience Manager 6.4 Forms(版本低于 2.10 的 log4j-core)和 Experience Manager 6.3 Forms(版本低于 2.10 的 log4j-core)缓解此问题,请执行以下步骤:

1. 关闭所有服务器实例和定位器。

2. 从位于以下位置的易受攻击的 log4j-core-2.xx.jar 中移除 org/apache/logging/log4j/core/lookup/JndiLookup.class

  • 可部署 EAR: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
  • GemFire 或 Geode 定位器:
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
要更新可部署的 EAR,请根据您的操作系统采用下列方法之一,从易受攻击的 log4j-core-2.xx.jar 中删除 JndiLookup.class
  • (具有 Oracle WebLogic 或 Redhat JBoss 的 Linux):运行以下命令。更新 <version> 和应用程序服务器信息,然后运行以下命令:
    • unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    • zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
  • (具备 IBM WebSphere 的 Linux):运行以下命令。更新 <version> 和应用程序服务器信息,然后运行以下命令:
    • unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    • zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • (Microsoft Windows):使用 7-Zip 等 GUI 工具删除类文件。

3. 对每个应用程序服务器实例(节点)和所有定位器(如有多个)重复步骤 2。 

4. 更新 jar 后,重新部署修改过的 EAR 并重启所有定位器进程和服务器实例。

注意:
  • 将 log4j-core-2.xx jar 的原始副本替换为更新后的副本。 无需进行其他更改。
  • 再次运行配置管理器时,可能会覆盖 <FORMS_INSTALLATION_DIRECTORY
    >/configurationManager/export
    的内容。 要避免每次发生此情况时都重新执行上述更改,请更新 <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear 中的 jar。这可确保配置管理器生成的 adobe-livecycle-[jboss|weblogic|websphere].ear 已具有更新后的 log4j-core-2.xx jar。
  • 在安装补丁/升级时,可能会覆盖对可部署工件所做的手动修改。如果发生这种情况,请重新执行该过程。

参考

如果在执行缓解步骤时遇到其他任何问题,我应该联系谁?

您可以联系 Adobe 支持或提出支持票证

如果在执行缓解步骤时遇到其他任何问题,我应该联系谁?

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上