Problema
Sono state segnalate vulnerabilità di sicurezza critiche per Apache Log4j2, una popolare libreria di registrazione per le applicazioni basate su Java. Sono state analizzate le seguenti vulnerabilità:
| Vulnerabilità | Che cosa è interessato | Che cosa non è interessato? | Stato |
| CVE-2021-44228 |
|
|
Questi sono stati corretti. Consulta la sezione Risoluzione per le correzioni e i passaggi di mitigazione. |
| CVE-2021-45046 | |||
| CVE-2021-45105 | Nessun impatto su qualsiasi versione di Experience Manager Forms per le configurazioni di registrazione pronte all’uso. Se disponi di configurazioni di registrazione aggiuntive, controllale per individuare queste vulnerabilità. |
||
| CVE-2021-44832 | |||
| CVE-2021-4104 | |||
| CVE-2022-22963 | |||
| CVE-2022-22965 | |||
| CVE-2020-9488 | |||
| CVE-2022-23302 | |||
AEM 6.5.13.0 Forms e le versioni precedenti includono entrambe le librerie Log4j (1.x e 2.17.1). Le librerie Log4j 1.x di AEM Forms in AEM 6.5.13.0 Forms e versioni precedenti non fanno parte della vulnerabilità segnalata, né sono considerate vulnerabili nelle analisi del codice AEM Forms eseguite da Adobe. Tuttavia, tutte le librerie Log4j 1.x sono state rimosse nella versione 6.5.14. Per istruzioni su come installare AEM 6.5.14.0 o una versione successiva, consulta le note sulla versione.
Risoluzione
Per mitigare il rischio di questa vulnerabilità, puoi utilizzare uno dei metodi seguenti:
- Installa il service pack più recente
- Utilizzare passaggi di mitigazione manuali
Installare il service pack più recente
Se hai applicato un hotfix all’ambiente Experience Manager Forms Service Pack 6.3.3.8 o Experience Manager Forms Service Pack 6.4.8.4, non installare il service pack con le correzioni di vulnerabilità (elencate di seguito). L’installazione di questi Service Pack potrebbe sovrascrivere l’hotfix. Adobe consiglia di utilizzare i passaggi di mitigazione manuali in uno scenario simile.
| Tipo di | Versione | Collegamento di download/Azione utente |
| Experience Manager 6.5 Forms su JEE | AEMForms-6.5.0-0038 (log4jv2.16) |
Scarica da Distribuzione software.
|
| Experience Manager 6.4 Forms su JEE | AEMForms-6.4.0-0027 | |
| Experience Manager 6.3 Forms su JEE |
AEMForms-6.3.0-0047 | |
| Experience Manager 6.5 Forms Designer | AEM Forms Designer v650.019 | |
| Experience Manager 6.4 Forms Designer | AEM Forms Designer v640.012 | |
| Servizio Automated Forms Conversion | Sono stati individuati i passaggi di mitigazione e il servizio è stato corretto. | Nessuna azione dell’utente. |
Utilizzare i passaggi di mitigazione manuali
Per mitigare il problema, in Experience Manager 6.5 Forms (log4j-core versione 2.10 e successive), Experience Manager 6.4 Forms (log4j-core versione precedente alla versione 2.10) ed Experience Manager 6.3 Forms (log4j-core versione precedente alla versione 2.10), esegui i seguenti passaggi:
1. Chiudi tutte le istanze e i localizzatori del server.
2.Rimuovi org/apache/logging/log4j/core/lookup/JndiLookup.class dal log4j-core-2.xx.jar vulnerabile disponibile nei seguenti percorsi:
- EAR distribuibile: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
- Localizzatore GemFire o Geode:
<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
- (Linux con Oracle WebLogic o Redhat JBoss): esegui il seguente comando. Aggiorna <version> e le informazioni sul server delle applicazioni prima di eseguire questi comandi:
- unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
- zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
- (Linux con IBM WebSphere): esegui il seguente comando. Aggiorna <version> e le informazioni sul server delle applicazioni prima di eseguire questi comandi:
- unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
- zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- (Microsoft Windows): utilizza uno strumento GUI come 7-Zip per rimuovere il file di classe.
3. Ripeti il passaggio 2 per ogni istanza del server delle applicazioni (nodo) e per tutti i localizzatori (se più di uno).
4. Dopo aver aggiornato il file jar, ridistribuisci l’EAR modificato e riavvia tutti i processi del localizzatore e le istanze del server.
- Sostituisci la copia originale del file jar log4j-core-2.xx con la copia aggiornata.Non sono necessarie altre modifiche.
- Quando il gestore della configurazione viene eseguito nuovamente, i contenuti di <FORMS_INSTALLATION_DIRECTORY
>/configurationManager/export possono essere sovrascritti. Per evitare di ripetere la modifica precedente ogni volta che ciò accade, aggiorna il file jar in <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Questo assicura che il file adobe-livecycle-[jboss|weblogic|websphere].ear prodotto dal gestore di configurazione abbia già il file jar log4j-core-2.xx aggiornato.
- Le modifiche manuali agli artefatti distribuibili possono essere sovrascritte durante l’applicazione di patch o l’aggiornamento. In questo caso, applica nuovamente la procedura.
Referenze
A chi devo rivolgermi se ho ulteriori domande o problemi nell’esecuzione dei passaggi di mitigazione?
È possibile contattare il Supporto di Adobe o aprire un ticket di supporto.
A chi devo rivolgermi se ho ulteriori domande o problemi nell’esecuzione dei passaggi di mitigazione?
