Sie sehen sich Hilfeinhalte der folgenden Version an:

Überblick


Das AEM-Team von Adobe arbeitet eng mit dem Open-Source-Projekt NotSoSerial zusammen, um Sie bei der Behandlung der in CVE-2015-7501 beschriebenen Sicherheitsrisiken zu unterstützen. NotSoSerial ist unter der Apache 2-Lizenz lizenziert und beinhaltet ASM-Code, der unter der eigenen BSD-ähnlichen Lizenz lizenziert ist.

Bei der in diesem Paket enthaltenen Agent-JAR-Datei handelt es sich um die modifizierte NotSoSerial-Distribution von Adobe. Weitere Informationen finden Sie weiter unten im Abschnitt Revisionsverlauf.

NotSoSerial ist eine Lösung auf Java-Ebene für ein Problem auf Java-Ebene und nicht AEM-spezifisch. Sie fügt einem Deserialisierungsversuch für ein Objekt eine Preflight-Prüfung hinzu. Im Rahmen dieser Prüfung wird ein Klassenname mit einer Firewall-ähnlichen Whitelist und/oder Blacklist abgeglichen. Aufgrund der begrenzten Anzahl von Klassen in der Standard-Blacklist hat dies wahrscheinlich keinerlei Auswirkungen auf Ihre Systeme oder auf Ihren Code.

Standardmäßig führt der Agent eine Blacklist-Prüfung für bekannte Klassen mit Sicherheitsrisiko durch. Diese Blacklist dient dazu, Sie vor der aktuellen Liste von Exploits zu schützen, die diese Art von Sicherheitsrisiko ausnutzen.

Eine Anleitung zum Konfigurieren der Blacklist und der Whitelist finden Sie im Abschnitt Konfigurieren des Agents dieses Artikels.

Der Agent unterstützt Sie bei der Behandlung der neuesten bekannten Klassen mit Sicherheitsrisiko. Wenn Ihr Projekt nicht vertrauenswürdige Daten deserialisiert, ist es unter Umständen weiterhin anfällig für Denial-of-Service-Angriffe, Out-of-Memory-Angriffe und bislang noch unbekannte Deserialisierungs-Exploits.

Adobe unterstützt offiziell Java 6, 7 und 8. Nach unserem Kenntnisstand unterstützt NotSoSerial aber auch Java 5.

Installieren des Agents

Hinweis:

Falls Sie bereits das Serialisierungshotfix für AEM 6.1 installiert haben, entfernen Sie die Startbefehle für den Agent aus Ihrer Java-Ausführungszeile.

  1. Installieren Sie das Bundle com.adobe.cq.cq-serialization-tester.

  2. Navigieren Sie zur Bundle-Web-Konsole (http://server:port/system/console/bundles).

  3. Suchen Sie nach dem Serialisierungsbundle und starten Sie es. Daraufhin wird der NotSoSerial-Agent automatisch dynamisch geladen.

Installieren des Agents auf Anwendungsservern

Der NotSoSerial-Agent ist nicht in der AEM-Standarddistribution für Anwendungsserver enthalten. Sie können ihn jedoch aus der AEM-JAR-Distribution extrahieren und mit Ihrer Anwendungsservereinrichtung verwenden:

  1. Laden Sie zuerst die AEM-Schnellstartdatei herunter und extrahieren Sie sie:

    java -jar aem-quickstart-6.2.0.jar -unpack
  2. Navigieren Sie zum Speicherort des entpackten Schnellstarts und kopieren Sie den Ordner crx-quickstart/opt/notsoserial/ in den Ordner crx-quickstart der AEM-Anwendungsserverinstallation.

  3. Legen Sie den Benutzer, der den Server betreibt, als Besitzer von /opt fest:

    chown -R opt <user running the server>
  4. Konfigurieren Sie den Agent und vergewissern Sie sich, dass er ordnungsgemäß aktiviert wurde, wie in den folgenden Abschnitten dieses Artikels gezeigt.

Konfigurieren des Agents

Die Standardkonfiguration ist für die meisten Installationen ausreichend. Sie beinhaltet eine Blacklist mit Klassen, bei denen bekannt ist, dass sie für eine Remoteausführung anfällig sind, sowie eine Whitelist mit Paketen, mit denen die Deserialisierung vertrauenswürdiger Daten vergleichsweise sicher sein dürfte.


Die Firewallkonfiguration ist dynamisch und kann jederzeit wie folgt geändert werden:

  1. Navigieren Sie zur Web-Konsole (http://server:port/system/console/configMgr).

  2. Suchen Sie nach Deserialization Firewall Configuration und klicken Sie darauf.

    Hinweis:

    Die Konfigurationsseite kann auch direkt über die URL aufgerufen werden:

    • http://server:port/system/console/configMgr/com.adobe.cq.deserfw.impl.DeserializationFirewallImpl

Diese Konfiguration enthält die Whitelist, die Blacklist und die Protokollierung für die Deserialisierung.

Whitelisting

Für die Klassen oder Paketpräfixe im Whitelisting-Abschnitt wird die Deserialisierung zugelassen. Wichtig: Wenn Sie eigene Klassen deserialisieren, müssen Sie dieser Whitelist entweder die Klassen oder die Pakete hinzufügen.

Blacklisting

Der Blacklisting-Abschnitt enthält Klassen, für die keine Deserialisierung zugelassen wird. Standardmäßig umfasst die Liste nur Klassen, die für Remoteausführungsangriffe anfällig sind. Die Blacklist wird vor jeglichen Whitelist-Einträgen angewendet.

Diagnoseprotokollierung

Im Abschnitt für die Diagnoseprotokollierung stehen verschiedene Protokollierungsoptionen für die Deserialisierung zur Verfügung. Diese werden nur bei der ersten Verwendung protokolliert. Bei erneuter Verwendung findet keine erneute Protokollierung statt.

Der Standardwert class-name-only gibt Aufschluss über die Klassen, die deserialisiert werden.

Sie können auch die Option full-stack festlegen. In diesem Fall wird ein Java-Stack des ersten Deserialisierungsversuchs protokolliert, um Sie darüber zu informieren, wo Ihre Deserialisierung stattfindet. Dies kann hilfreich sein, um Deserialisierungsvorkommen zu ermitteln und zu entfernen.

Überprüfen der Agent-Aktivierung

Die Konfiguration des Deserialisierungs-Agents kann unter folgender URL geprüft werden:

  • http://server:port/system/console/healthcheck?tags=deserialization

Unter der URL wird eine Liste mit Integritätsprüfungen für den Agent angezeigt. Sind die Integritätsprüfungen erfolgreich, wurde der Agent ordnungsgemäß aktiviert. Im Falle eines Fehlers muss der Agent ggf. manuell geladen werden.

Weitere Informationen zum Behandeln von Problemen mit dem Agent finden Sie weiter unten unter Behandeln von Fehlern beim dynamischen Laden des Agents.

Hinweis:

Wenn Sie org.apache.commons.collections.functors der Whitelist hinzufügen, tritt bei der Integritätsprüfung immer ein Fehler auf.

Behandeln von Fehlern beim dynamischen Laden des Agents

Wenn das Protokoll Fehler enthält oder bei den Überprüfungsschritten ein Ladeproblem für den Agent festgestellt wird, muss der Agent ggf. manuell geladen werden. Dies empfiehlt sich auch, wenn Sie anstelle eines JDK (Java Development Kit) eine JRE (Java Runtime Environment) verwenden, da in diesem Fall die Tools für dynamisches Laden nicht zur Verfügung stehen.

Gehen Sie zum manuellen Laden des Agents wie folgt vor:

  1. Ändern Sie die JVM-Startparameter der CQ-JAR-Datei, indem Sie folgende Option hinzufügen:

    -javaagent:<aem-installation-folder>/crx-quickstart/opt/notsoserial/notsoserial.jar

    Hinweis:

    Dies erfordert auch die Verwendung der Option „-nofork CQ/AEM“ und der entsprechenden JVM-Arbeitsspeichereinstellungen, da der Agent für eine geforkte JVM-Instanz nicht aktiviert wird.

    Hinweis:

    Die Adobe-Distribution der JAR-Datei des NotSoSerial-Agents finden Sie im Ordner crx-quickstart/opt/notsoserial/ Ihrer AEM-Installation.

  2. Beenden Sie die JVM-Instanz und starten Sie sie neu.

  3. Überprüfen Sie mithilfe der unter Überprüfen der Agent-Aktivierung beschriebenen Schritte erneut die Aktivierung des Agents.

Weitere Überlegungen

Lesen Sie bei Verwendung einer JVM von IBM die Dokumentation zur Unterstützung der Java Attach-API. Diese finden Sie hier.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie