問題
Java ベースのアプリケーション向けの一般的なログライブラリである Apache Log4j2 に対して、セキュリティの重大な脆弱性が報告されています。 次の脆弱性が分析されました。
| 脆弱性 | 影響の対象 | 影響の対象外 | ステータス |
| CVE-2021-44228 |
|
|
これらは修正されました。 修正プログラムや軽減手順について詳しくは、解決策の節を参照してください。 |
| CVE-2021-45046 | |||
| CVE-2021-45105 | 標準のログ設定に関する Experience Manager Forms リリースへの影響はありません。 その他のログ設定がある場合は、これらの設定に脆弱性がないか確認してください。 |
||
| CVE-2021-44832 | |||
| CVE-2021-4104 | |||
| CVE-2022-22963 | |||
| CVE-2022-22965 | |||
| CVE-2020-9488 | |||
| CVE-2022-23302 | |||
AEM 6.5.13.0 Forms 以前のリリースには、Log4j ライブラリ(1.x と2.17.1) が含まれています。 AEM 6.5.13.0 Forms 以前のリリースの AEM Forms Log4j 1.x ライブラリは、報告された脆弱性に含まれておらず、アドビが実行する AEM Forms コードスキャンでも脆弱性があると指摘されていません。 ただし、6.5.14 リリースでは、すべての Log4j 1.x ライブラリが削除されています。 AEM 6.5.14.0 以降のリリースのインストール手順については、リリースノートを参照してください。
解決策
この脆弱性のリスクを軽減するには、次のいずれかの方法を使用できます。
- 最新のサービスパックをインストールする
- 手動での軽減手順を使用する
最新のサービスパックをインストールする
Experience Manager Forms サービスパック 6.3.3.8 または Experience Manager Forms サービスパック 6.4.8.4 環境にホットフィックスを適用している場合は、次に示す脆弱性修正プログラムを含むサービスパックをインストールしないでください。 これらのサービスパックをインストールすると、ホットフィックスが上書きされる場合があります。 アドビは、このようなシナリオの場合、手動による軽減手順に従うことをお勧めします。
| リリース | バージョン | リンクのダウンロード/ユーザーアクション |
| JEE 上の Experience Manager 6.5 Forms | AEMForms-6.5.0-0038(log4jv2.16) |
ソフトウェア配信からダウンロードします。
|
| JEE 上の Experience Manager 6.4 Forms | AEMForms-6.4.0-0027 | |
| JEE 上の Experience Manager 6.3 Forms |
AEMForms-6.3.0-0047 | |
| Experience Manager 6.5 Forms Designer | AEM Forms Designer v650.019 | |
| Experience Manager 6.4 Forms Designer | AEM Forms Designer v640.012 | |
| 自動フォーム変換サービス | 軽減手順が特定され、サービスにパッチが適用されました。 | ユーザーアクションはありません。 |
手動による軽減手順の使用
この問題を軽減するには、Experience Manager 6.5 Forms(log4j-core バージョン 2.10 以降)、Experience Manager 6.4 Forms(log4j-core バージョン 2.10 以前)、Experience Manager 6.3 Forms(log4j-core バージョン 2.10 以前)で、次の手順を実行します。
1. すべてのサーバーインスタンスとロケーターをシャットダウンします。
2.次の場所にある脆弱な log4j-core-2.xx.jar から org/apache/logging/log4j/core/lookup/JndiLookup.class を削除します。
- デプロイ可能な EAR: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
- GemFire または Geode ロケーター:
<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
- (Oracle WebLogic または Redhat JBoss を搭載した Linux):次のコマンドを実行します。 次のコマンドを実行する前に、<version> およびアプリケーションサーバーの情報を更新します。
- unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
- zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
- (IBM WebSphere を搭載した Linux):次のコマンドを実行します。 次のコマンドを実行する前に、<version> およびアプリケーションサーバーの情報を更新します。
- unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
- zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- (Microsoft Windows):7-Zip などの GUI ツールを使用して、クラスファイルを削除します。
3. 各アプリケーションサーバーインスタンス(ノード)とすべてのロケーター(複数の場合)について手順 2 を繰り返します。
4. jar を更新した後、変更した EAR を再デプロイし、すべてのロケータープロセスとサーバーインスタンスを再起動します。
- log4j-core-2.xx jar のオリジナルコピーを、更新されたコピーに置き換えます。 その他の変更は必要ありません。
- Configuration Manager を再度実行すると、<FORMS_INSTALLATION_DIRECTORY
>/configurationManager/export の内容が上書きされる可能性があります。これが発生するたびに上記の変更が実施されるのを回避するには、<FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss weblogic websphere].ear で jar を更新します。 これにより、Configuration Manager で生成された adobe-livecycle-[jboss|weblogic|websphere].ear に、更新された log4j-core-2.xx jar が既に含まれるようにします。
- デプロイ可能なアーティファクトに対する手動の変更は、パッチ適用やアップグレード時に上書きされる場合があります。 この場合は、手順を再適用します。
リファレンス
