Vulnerabilidad de deserialización en la biblioteca Apache commons-collections

Adobe se ha dado cuenta de una vulnerabilidad de deserialización en la biblioteca Apache commons-collections. La vulnerabilidad puede llevar a la ejecución remota de código e impactar a los clientes que utilizan los servidores de aplicaciones Oracle WebLogic, IBM WebSphere y Red Hat JBoss.

Para solucionar el problema, siga estos pasos:

  1. Instale correcciones de seguridad para su servidor de aplicaciones:

    En la siguiente tabla se enumeran las alertas o avisos de seguridad que Oracle, IBM y Red Hat han publicado para esta vulnerabilidad.

    Se aconseja a los clientes que utilizan estas tecnologías que obtengan las correcciones de seguridad directamente de los proveedores de servidores de aplicaciones y las apliquen según lo recomendado. Los clientes que utilicen la llave en mano de JBoss, y que no tengan un contrato de asistencia técnica con Red Hat, pueden ponerse en contacto con el servicio de asistencia técnica de Adobe para obtener los parches de JBoss cuando Red Hat los ponga a su disposición.

  2. Descargue e instale la corrección-NPR-8364:

    1. Inicie sesión en la instancia AEM como administrador y abra el paquete compartido. La URL predeterminada del paquete compartido es http://[server]:[port]/crx/packageshare.

    2. En paquete compartido, busque CQ-ALL-hotfix-NPR-8364, haga clic en el paquete y haga clic en Descargar. Lea y acepte el acuerdo de licencia y haga clic en Aceptar. Iniciar la descarga. Una vez descargada, la palabra Descargada aparece junto al paquete.

      Alternativamente, también puede utilizar el hipervínculo http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb para descargar manualmente un paquete.

    3. Una vez finalizada la descarga, haga clic en Descargar. Se le redirige al gestor de paquetes.  En el gestor de paquetes, busque el paquete descargado y haga clic en Instalar

      Si descarga manualmente el paquete a través de un enlace directo, abra el gestor de paquetes, haga clic en Cargar paquete, seleccione el paquete descargado y haga clic en Cargar. Una vez cargado el paquete, haga clic en el nombre del paquete y haga clic en Instalar. La URL predeterminada del Administrador de Paquetes es http://[server]:[port]/lc/crx/packmgr/index.jsp.                 

    4. Una vez instalado el paquete, abra http://[host]:[port]/lc/libs/cq/sercheck/run/tester.htmlURL en la ventana del navegador y descargue notsoserial-[version].jar.   

      Copie el archivo notsoserial-[version].jar descargado al servidor que tiene implementados los formularios AEM.

      Nota:

      Asegúrese de que el usuario que ejecuta el servidor de aplicaciones tiene permisos para leer y escribir en el directorio del servidor que contiene el archivo jar descargado.

    5. Añada el siguiente argumento de JVM al script de inicio del servidor de aplicaciones:

      -javaagent:[ruta]/notsoserial-[versión]

      [ruta] es la ubicación en el servidor que contiene el archivo notsoserial-[version].jar.

    6. Reinicie el servidor de aplicaciones.

    7. Abra la URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html en una ventana del navegador. Asegúrese de que los resultados de la prueba de serialización estén configurados en Aceptar.

  3. Si utiliza el complemento de seguridad de documentos de Adobe Experience Manager o LiveCycle Rights Management, instale la solución rápida correspondiente:

    Versión del producto

    Corrección rápida

    Paquete de funciones 1 de Adobe Experience Manager 6.1 para formularios

    Formularios de Adobe Experience Manager 6.0

    LiveCycle ES4 SP1

    LiveCycle ES3 SP2

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?