Mitigazione delle vulnerabilità di Log4j2 per Experience Manager Forms

Problema

Sono state segnalate vulnerabilità di sicurezza critiche per Apache Log4j2, una popolare libreria di registrazione per le applicazioni basate su Java. Sono state analizzate le seguenti vulnerabilità:

Vulnerabilità Che cosa è interessato Che cosa non è interessato? Stato
CVE-2021-44228
  • Experience Manager 6.5 Forms su JEE (tutte le versioni da 6.5 GA a 6.5.11)
  • Experience Manager 6.4 Forms su JEE (tutte le versioni da 6.4 GA a 6.4.8)
  • Experience Manager 6.3 Forms su JEE (tutte le versioni da 6.3 GA a 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Servizio Automated Forms Conversion
  • Experience Manager Forms Workbench (tutte le versioni)
  • Experience Manager Forms su OSGi (tutte le versioni)
Questi sono stati corretti. Consulta la sezione Risoluzione per le correzioni e i passaggi di mitigazione.
CVE-2021-45046
CVE-2021-45105 Nessun impatto su qualsiasi versione di Experience Manager Forms per le configurazioni di registrazione pronte all’uso. Se disponi di configurazioni di registrazione aggiuntive, controllale per individuare queste vulnerabilità. 

 
CVE-2021-44832
CVE-2021-4104  
CVE-2022-22963  
CVE-2022-22965  
CVE-2020-9488  
CVE-2022-23302  

 

Nota:

AEM 6.5.13.0 Forms e le versioni precedenti includono entrambe le librerie Log4j (1.x e 2.17.1). Le librerie Log4j 1.x di AEM Forms in AEM 6.5.13.0 Forms e versioni precedenti non fanno parte della vulnerabilità segnalata, né sono considerate vulnerabili nelle analisi del codice AEM Forms eseguite da Adobe. Tuttavia, tutte le librerie Log4j 1.x sono state rimosse nella versione 6.5.14. Per istruzioni su come installare AEM 6.5.14.0 o una versione successiva, consulta le note sulla versione.

Risoluzione

Per mitigare il rischio di questa vulnerabilità, puoi utilizzare uno dei metodi seguenti:

  • Installa il service pack più recente
  • Utilizzare passaggi di mitigazione manuali 

Installare il service pack più recente

Attenzione:

Se hai applicato un hotfix all’ambiente Experience Manager Forms Service Pack 6.3.3.8 o Experience Manager Forms Service Pack 6.4.8.4, non installare il service pack con le correzioni di vulnerabilità (elencate di seguito). L’installazione di questi Service Pack potrebbe sovrascrivere l’hotfix. Adobe consiglia di utilizzare i passaggi di mitigazione manuali in uno scenario simile.

Tipo di Versione   Collegamento di download/Azione utente
Experience Manager 6.5 Forms su JEE AEMForms-6.5.0-0038 (log4jv2.16)
Scarica da Distribuzione software.

 

 

Experience Manager 6.4 Forms su JEE   AEMForms-6.4.0-0027
Experience Manager 6.3 Forms su JEE 
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer AEM Forms Designer v640.012
Servizio Automated Forms Conversion Sono stati individuati i passaggi di mitigazione e il servizio è stato corretto. Nessuna azione dell’utente.

Utilizzare i passaggi di mitigazione manuali

Per mitigare il problema, in Experience Manager 6.5 Forms (log4j-core versione 2.10 e successive), Experience Manager 6.4 Forms (log4j-core versione precedente alla versione 2.10) ed Experience Manager 6.3 Forms (log4j-core versione precedente alla versione 2.10), esegui i seguenti passaggi:

1. Chiudi tutte le istanze e i localizzatori del server.

2.Rimuovi org/apache/logging/log4j/core/lookup/JndiLookup.class dal log4j-core-2.xx.jar vulnerabile disponibile nei seguenti percorsi:

  • EAR distribuibile: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
  • Localizzatore GemFire o Geode: 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
Per aggiornare l’EAR distribuibile, a seconda del sistema operativo in uso, è possibile utilizzare uno dei seguenti metodi per rimuovere JndiLookup.class dal log4j-core-2.xx.jar vulnerabile:
  • (Linux con Oracle WebLogic o Redhat JBoss): esegui il seguente comando. Aggiorna <version> e le informazioni sul server delle applicazioni prima di eseguire questi comandi:
    • unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    • zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
  • (Linux con IBM WebSphere): esegui il seguente comando. Aggiorna <version> e le informazioni sul server delle applicazioni prima di eseguire questi comandi:
    • unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    • zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • (Microsoft Windows): utilizza uno strumento GUI come 7-Zip per rimuovere il file di classe.

3.Ripeti il passaggio 2 per ogni istanza del server delle applicazioni (nodo) e per tutti i localizzatori (se più di uno). 

4.Dopo aver aggiornato il file jar, ridistribuisci l’EAR modificato e riavvia tutti i processi del localizzatore e le istanze del server.

Nota:
  • Sostituisci la copia originale del file jar log4j-core-2.xx con la copia aggiornata.Non sono necessarie altre modifiche.
  • Quando il gestore della configurazione viene eseguito nuovamente, i contenuti di <FORMS_INSTALLATION_DIRECTORY
    >/configurationManager/export
    possono essere sovrascritti.   Per evitare di ripetere la modifica precedente ogni volta che ciò accade, aggiorna il file jar in <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Questo assicura che il file adobe-livecycle-[jboss|weblogic|websphere].ear prodotto dal gestore di configurazione abbia già il file jar log4j-core-2.xx aggiornato.
  • Le modifiche manuali agli artefatti distribuibili possono essere sovrascritte durante l’applicazione di patch o l’aggiornamento. In questo caso, applica nuovamente la procedura. 

Referenze

A chi devo rivolgermi se ho ulteriori domande o problemi nell’esecuzione dei passaggi di mitigazione?

È possibile contattare il Supporto di Adobe o aprire un ticket di supporto.

A chi devo rivolgermi se ho ulteriori domande o problemi nell’esecuzione dei passaggi di mitigazione?

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online