Installer des correctifs de sécurité pour votre serveur d’applications :
Dernière mise à jour le
2 mai 2021
Adobe a conscience d’une vulnérabilité de désérialisation dans la bibliothèque Apache commons-collections. La vulnérabilité peut entraîner l’exécution de code à distance et affecter les clients à l’aide des serveurs d’applications Oracle WebLogic, IBM WebSphere et Red Hat JBoss.
Suivez les étapes ci-après pour résoudre ce problème :
-
Le tableau suivant répertorie les avertissements de protection ou des notifications à propos de la vulnérabilité, publiés par Oracle, IBM et Red Hat.
Serveur d’application
Alerte de sécurité ou notification
Oracle WebLogic
IBM WebSphere
Red Hat JBoss
Les clients utilisant ces technologies peuvent obtenir directement des fournisseurs de serveurs d’applications des correctifs de sécurité et les mettre en pratique comme recommandé. Les clients utilisant JBoss clé en main et ne disposant pas de contrat d’assistance avec Red Hat peuvent contacter le service clientèle d’Adobe pour obtenir des correctifs JBoss lorsque Red Hat les rend disponibles.
-
Téléchargez et installez le hotfix-NPR-8364 :
-
Connectez-vous à l’instance AEM en tant qu’administrateur et ouvrez le partage de package. L’URL par défaut du partage de package est http://[serveur]:[port]/crx/packageshare.
-
Dans le partage de package, recherchez CQ-ALL-hotfix-NPR-8364, cliquez sur le package, puis sur Télécharger. Lisez et acceptez le contrat de licence en cliquant sur OK. Le téléchargement démarre. Une fois le téléchargement effectué, le mot Téléchargé apparaît en regard du package.
Vous pouvez également utiliser l’hyperlien http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb pour télécharger manuellement un package.
-
Une fois le téléchargement terminé, cliquez sur Téléchargé. Vous êtes redirigé vers le gestionnaire de package. Dans le gestionnaire de packages, recherchez le package téléchargé, puis cliquez sur Installer.
Si vous téléchargez manuellement le package via un lien direct, ouvrez le gestionnaire de packages, cliquez sur Télécharger le package, puis sélectionnez le package téléchargé et cliquez sur Télécharger. Une fois le téléchargement terminé, cliquez sur le nom du package, puis sur Installer. L’URL par défaut du Gestionnaire de packages est http://[serveur]:[port]/lc/crx/packmgr/index.jsp.
-
Une fois le package installé, ouvrez l’URL http://[hôte]:[port]/lc/libs/cq/sercheck/run/tester.html dans la fenêtre du navigateur et téléchargez le fichier notsoserial-[version].jar.
Copiez le fichier téléchargé notsoserial-[version].jar sur le serveur disposant des formulaires AEM déployés.
Remarque :Assurez-vous que l’utilisateur exécutant le serveur d’applications dispose d’autorisations pour lire et écrire dans le répertoire du serveur contenant le fichier jar téléchargé.
-
Ajoutez l’argument JVM suivant au script de démarrage du serveur d’applications :
-javaagent:[path]/notsoserial-[version]
[chemin] correspond à l’emplacement sur le serveur contenant le fichier notsoserial-[version].jar.
-
Redémarrez le serveur d’applications.
-
Ouvrez l’URL http://[hôte]:[port]/lc/libs/cq/sercheck/run/tester.html dans une fenêtre de navigateur. Assurez-vous que les résultats du test de sérialisation sont définis à OK.
-
-
Si vous utilisez un module externe de protection des formulaires Adobe Experience Manager ou LiveCycle Rights Management, installez la solution rapide concernée :
Version du produit
Retouche rapide
Les formulaires d’Adobe Experience Manager 6,1 affichent pack 1
Formulaires Adobe Experience Manager 6.0
LiveCycle ES4 SP1
LiveCycle ES3 SP2
