Problema
Se han notificado vulnerabilidades de seguridad críticas para Apache Log4j2, una popular biblioteca de registro para aplicaciones basadas en Java. Se han analizado las siguientes vulnerabilidades:
| Vulnerabilidad | Qué se ve afectado | Qué no se ve afectado | Estado |
| CVE-2021-44228 |
|
|
Se han corregido. Consulte la sección Resolución para consultar las correcciones y pasos de mitigación. |
| CVE-2021-45046 | |||
| CVE-2021-45105 | No afecta a ninguna versión de Experience Manager Forms en cuanto a las configuraciones de registro predeterminadas. Si tiene alguna configuración de registro adicional, compruebe estas configuraciones para ver si hay estas vulnerabilidades. |
||
| CVE-2021-44832 | |||
| CVE-2021-4104 | |||
| CVE-2022-22963 | |||
| CVE-2022-22965 | |||
| CVE-2020-9488 | |||
| CVE-2022-23302 | |||
AEM 6.5.13.0 Forms y las versiones anteriores incluyen bibliotecas Log4j (1.x y 2.17.1). Las bibliotecas AEM Forms Log4j 1.x de AEM 6.5.13.0 Forms y versiones anteriores no forman parte de la vulnerabilidad registrada, ni se consideran vulnerables en los análisis de código de AEM Forms ejecutados por Adobe. Sin embargo, todas las bibliotecas de Log4j 1.x se eliminan de la versión 6.5.14. Para obtener instrucciones para instalar AEM 6.5.14.0 o una versión posterior, consulte las notas de la versión.
Resolución
Puede utilizar uno de los siguientes métodos para mitigar el riesgo de esta vulnerabilidad:
- Instalación del Service Pack más reciente
- Uso de los pasos de mitigación manuales
Instalación del Service Pack más reciente
Si ha aplicado una corrección en el entorno de Experience Manager Forms Service Pack 6.3.3.8 o Experience Manager Forms Service Pack 6.4.8.4, no instale el Service Pack con las correcciones de vulnerabilidades (enumeradas a continuación). La instalación de estos Service Packs puede sobrescribir la corrección. Adobe recomienda usar los pasos de mitigación manuales en tal caso.
| Tipo de | Versión | Vínculo de descarga/Acción del usuario |
| Experience Manager 6.5 Forms en JEE | AEMForms-6.5.0-0038 (log4jv2.16) |
Descargar desde Distribución de software.
|
| Experience Manager 6.4 Forms en JEE | AEMForms-6.4.0-0027 | |
| Experience Manager 6.3 Forms en JEE |
AEMForms-6.3.0-0047 | |
| Experience Manager 6.5 Forms Designer | AEM Forms Designer v650.019 | |
| Experience Manager 6.4 Forms Designer | AEM Forms Designer v640.012 | |
| Servicio de conversión automática de formularios | Se identificaron los pasos de mitigación y se aplicaron parches al servicio. | No hay ninguna acción del usuario. |
Uso de los pasos de mitigación manuales
Para mitigar el problema, para Experience Manager 6.5 Forms (versión log4j-core 2.10 y posterior), Experience Manager 6.4 Forms (versión log4j-core anterior a 2.10) y Experience Manager 6.3 Forms (versión log4j-core anterior a 2.10), siga estos pasos:
1. Cierre todas las instancias y ubicaciones del servidor.
2. Quite org/apache/logging/log4j/core/lookup/JndiLookup.class de los log4j-core-2.xx.jar vulnerables disponibles en las siguientes ubicaciones:
- EAR implementable: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
- Localizador de GemFire o Geode:
<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
- (Linux con Oracle WebLogic o Redhat JBoss): ejecute el siguiente comando. Actualice la <version> y la información del servidor de aplicaciones antes de ejecutar estos comandos:
- unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
- zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
- (Linux con IBM WebSphere): ejecute el siguiente comando. Actualice la <version> y la información del servidor de aplicaciones antes de ejecutar estos comandos:
- unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
- zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- (Microsoft Windows): utilice una herramienta GUI como 7-Zip para quitar el archivo de clase.
3. Repita el paso 2 para cada instancia (nodo) del servidor de aplicaciones y todos los localizadores (si hay más de uno).
4. Después de actualizar el JAR, vuelva a implementar el EAR modificado y reinicie todos los procesos del localizador y las instancias del servidor.
- Reemplace la copia original del JAR log4j-core-2.xx por la actualizada. No se requieren otros cambios.
- Cuando se vuelve a ejecutar el administrador de configuración, el contenido de <FORMS_INSTALLATION_DIRECTORY
>/configurationManager/export se puede sobrescribir. Para evitar rehacer el cambio anterior cada vez que esto sucede, actualice el JAR en <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss weblogic websphere].ear. Esto garantiza que el adobe-livecycle-[jboss|weblogic|websphere].ear producido por el administrador de configuración ya tenga el JAR log4j-core-2.xx actualizado.
- Las modificaciones manuales de los artefactos implementables se pueden sobrescribir en los parches/actualización. Si esto sucede, vuelva a aplicar el procedimiento.
Referencias
¿Con quién debo ponerme en contacto si tengo más preguntas o problemas al seguir los pasos de mitigación?
Puede ponerse en contacto con el Soporte de Adobe o enviar un ticket de asistencia.
¿Con quién debo ponerme en contacto si tengo más preguntas o problemas al seguir los pasos de mitigación?
