アプリケーションサーバーのセキュリティ修正をインストールします。
アドビは、Apache 共通のコレクションライブラリのシリアル化解除の脆弱性を認識しています。この脆弱性は、リモートコード実行につながり、Oracle WebLogic、IBM WebSphere および Red Hat JBoss アプリケーションサーバーを使用している顧客に影響を与えます。
以下の手順に従って問題を解決します:
-
次の表に、脆弱性に対して Oracle、IBM、Red Hat がリリースしたセキュリティアラートまたはアドバイザリを示します。
アプリケーションサーバー
セキュリティ警告またはアドバイザリ
Oracle WebLogic
IBM WebSphere
Red Hat JBoss
これらのテクノロジーを使用しているお客様は、ベンダーから直接セキュリティ修正を入手し、推奨どおりに適用することをお勧めします。JBoss turnkey を使用しているお客様で、Red Hat とのサポート契約がない場合は、Adobe のエンタープライズサポートに連絡し、Red Hat でパッチが入手可能になったときに JBoss パッチを取得できます。
-
hotfix-NPR-8364 をダウンロードし、インストールします。
-
管理者として AEM インスタンスにログインし、パッケージ共有を開きます。パッケージ共有のデフォルト URL は http://[server]:[port]/crx/packageshare. です。
-
パッケージ共有において、CQ-ALL-hotfix-NPR-8364 を検索し、パッケージをクリックし、次いでダウンロードをクリックします使用許諾契約を読み、承認した後 OK をクリックします。ダウンロードが開始されます。ダウンロードが完了すると、パッケージの横にダウンロードという言葉が表示されます。
または、ハイパーリンク:http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb が使用できます。手動でパッケージをダウンロードします。
-
ダウンロードが完了したら、「ダウンロード」をクリックします.パッケージマネージャーにリダイレクトされます。パッケージマネージャーにてダウンロードしたパッケージを検索し、インストールをクリックします。
直接リンクより手動でパッケージをダウンロードした場合、パッケージマネージャーを開いて、パッケージをアップロードするをクリックし、ダウンロードしたパッケージを選択してアップロードをクリックします。パッケージをアップロードした後は、パッケージ名をクリックし、インストールをクリックします。パッケージマネージャーのデフォルトの URL は http://[server]:[port]/lc/crx/packmgr/index.jsp.
-
パッケージがインストールされたら、ブラウザーウィンドウで http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html URL を開き、notsoserial-[version].jar をダウンロードします。
ダウンロードした notsoserial-[version].jar ファイルを、AEM フォームをデプロイしたサーバーにコピーします。
注意:アプリケーションサーバーを実行しているユーザーに、ダウンロードした jar ファイルを含むサーバーディレクトリへの読み取りおよび書き込み権限があることを確認します。
-
アプリケーションサーバーの起動スクリプトに次の JVM 引数を追加します。
-javaagent:[path]/notsoserial-[version]
「パス」は、notsoserial-[version].jar ファイルを含むサーバー上の場所です。
-
アプリケーションサーバーを再起動します。
-
http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html の URL をブラウザウィンドウで開きます。シリアル化テスト結果が OK に設定されていること確認します。
-
-
Adobe Experience Manager フォームの文書セキュリティアドオンまたは LiveCycle Rights Management を使用している場合は、該当するクイックフィックスをインストールします。
製品のバージョン
クイック補正
Adobe Experience Manager 6.1 Forms 機能パック 1
Adobe Experience Manager 6.0 フォーム
LiveCycle ES4 SP1
LiveCycle ES3 SP2