Instale correcciones de seguridad para su servidor de aplicaciones:
Adobe se ha dado cuenta de una vulnerabilidad de deserialización en la biblioteca Apache commons-collections. La vulnerabilidad puede llevar a la ejecución remota de código e impactar a los clientes que utilizan los servidores de aplicaciones Oracle WebLogic, IBM WebSphere y Red Hat JBoss.
Para solucionar el problema, siga estos pasos:
-
En la siguiente tabla se enumeran las alertas o avisos de seguridad que Oracle, IBM y Red Hat han publicado para esta vulnerabilidad.
Servidor de aplicaciones
Alerta o asesoría de seguridad
Oracle WebLogic
IBM WebSphere
Red Hat JBoss
Se aconseja a los clientes que utilizan estas tecnologías que obtengan las correcciones de seguridad directamente de los proveedores de servidores de aplicaciones y las apliquen según lo recomendado. Los clientes que utilicen la llave en mano de JBoss, y que no tengan un contrato de asistencia técnica con Red Hat, pueden ponerse en contacto con el servicio de asistencia técnica de Adobe para obtener los parches de JBoss cuando Red Hat los ponga a su disposición.
-
Descargue e instale la corrección-NPR-8364:
-
Inicie sesión en la instancia AEM como administrador y abra el paquete compartido. La URL predeterminada del paquete compartido es http://[server]:[port]/crx/packageshare.
-
En paquete compartido, busque CQ-ALL-hotfix-NPR-8364, haga clic en el paquete y haga clic en Descargar. Lea y acepte el acuerdo de licencia y haga clic en Aceptar. Iniciar la descarga. Una vez descargada, la palabra Descargada aparece junto al paquete.
Alternativamente, también puede utilizar el hipervínculo http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb para descargar manualmente un paquete.
-
Una vez finalizada la descarga, haga clic en Descargar. Se le redirige al gestor de paquetes. En el gestor de paquetes, busque el paquete descargado y haga clic en Instalar.
Si descarga manualmente el paquete a través de un enlace directo, abra el gestor de paquetes, haga clic en Cargar paquete, seleccione el paquete descargado y haga clic en Cargar. Una vez cargado el paquete, haga clic en el nombre del paquete y haga clic en Instalar. La URL predeterminada del Administrador de Paquetes es http://[server]:[port]/lc/crx/packmgr/index.jsp.
-
Una vez instalado el paquete, abra http://[host]:[port]/lc/libs/cq/sercheck/run/tester.htmlURL en la ventana del navegador y descargue notsoserial-[version].jar.
Copie el archivo notsoserial-[version].jar descargado al servidor que tiene implementados los formularios AEM.
Nota:Asegúrese de que el usuario que ejecuta el servidor de aplicaciones tiene permisos para leer y escribir en el directorio del servidor que contiene el archivo jar descargado.
-
Añada el siguiente argumento de JVM al script de inicio del servidor de aplicaciones:
-javaagent:[ruta]/notsoserial-[versión]
[ruta] es la ubicación en el servidor que contiene el archivo notsoserial-[version].jar.
-
Reinicie el servidor de aplicaciones.
-
Abra la URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html en una ventana del navegador. Asegúrese de que los resultados de la prueba de serialización estén configurados en Aceptar.
-
-
Si utiliza el complemento de seguridad de documentos de Adobe Experience Manager o LiveCycle Rights Management, instale la solución rápida correspondiente:
Versión del producto
Corrección rápida
Paquete de funciones 1 de Adobe Experience Manager 6.1 para formularios
Formularios de Adobe Experience Manager 6.0
LiveCycle ES4 SP1
LiveCycle ES3 SP2