Mitigación de vulnerabilidades de Log4j2 para Experience Manager Forms

Problema

Se han notificado vulnerabilidades de seguridad críticas para Apache Log4j2, una popular biblioteca de registro para aplicaciones basadas en Java. Se han analizado las siguientes vulnerabilidades:

Vulnerabilidad Qué se ve afectado Qué no se ve afectado Estado
CVE-2021-44228
  • Experience Manager 6.5 Forms en JEE (todas las versiones desde 6.5 GA a 6.5.11)
  • Experience Manager 6.4 Forms en JEE (todas las versiones desde 6.4 GA a 6.4.8)
  • Experience Manager 6.3 Forms en JEE (todas las versiones desde 6.3 GA a 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Servicio de conversión automática de formularios
  • Experience Manager Forms Workbench (todas las versiones)
  • Experience Manager Forms en OSGi (todas las versiones)
Se han corregido. Consulte la sección Resolución para consultar las correcciones y pasos de mitigación.
CVE-2021-45046
CVE-2021-45105 No afecta a ninguna versión de Experience Manager Forms en cuanto a las configuraciones de registro predeterminadas. Si tiene alguna configuración de registro adicional, compruebe estas configuraciones para ver si hay estas vulnerabilidades.  

 
CVE-2021-44832
CVE-2021-4104  
CVE-2022-22963  
CVE-2022-22965  
CVE-2020-9488  
CVE-2022-23302  

 

Nota:

AEM 6.5.13.0 Forms y las versiones anteriores incluyen bibliotecas Log4j (1.x y 2.17.1). Las bibliotecas AEM Forms Log4j 1.x de AEM 6.5.13.0 Forms y versiones anteriores no forman parte de la vulnerabilidad registrada, ni se consideran vulnerables en los análisis de código de AEM Forms ejecutados por Adobe. Sin embargo, todas las bibliotecas de Log4j 1.x se eliminan de la versión 6.5.14. Para obtener instrucciones para instalar AEM 6.5.14.0 o una versión posterior, consulte las notas de la versión.

Resolución

Puede utilizar uno de los siguientes métodos para mitigar el riesgo de esta vulnerabilidad:

  • Instalación del Service Pack más reciente
  • Uso de los pasos de mitigación manuales  

Instalación del Service Pack más reciente

Precaución:

Si ha aplicado una corrección en el entorno de Experience Manager Forms Service Pack 6.3.3.8 o Experience Manager Forms Service Pack 6.4.8.4, no instale el Service Pack con las correcciones de vulnerabilidades (enumeradas a continuación). La instalación de estos Service Packs puede sobrescribir la corrección. Adobe recomienda usar los pasos de mitigación manuales en tal caso.

Tipo de Versión   Vínculo de descarga/Acción del usuario
Experience Manager 6.5 Forms en JEE AEMForms-6.5.0-0038 (log4jv2.16)
Descargar desde Distribución de software.

 

 

Experience Manager 6.4 Forms en JEE   AEMForms-6.4.0-0027
Experience Manager 6.3 Forms en JEE 
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer AEM Forms Designer v640.012
Servicio de conversión automática de formularios Se identificaron los pasos de mitigación y se aplicaron parches al servicio. No hay ninguna acción del usuario.

Uso de los pasos de mitigación manuales

Para mitigar el problema, para Experience Manager 6.5 Forms (versión log4j-core 2.10 y posterior), Experience Manager 6.4 Forms (versión log4j-core anterior a 2.10) y Experience Manager 6.3 Forms (versión log4j-core anterior a 2.10), siga estos pasos: 

1. Cierre todas las instancias y ubicaciones del servidor.

2. Quite org/apache/logging/log4j/core/lookup/JndiLookup.class de los log4j-core-2.xx.jar vulnerables disponibles en las siguientes ubicaciones:

  • EAR implementable: <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
  • Localizador de GemFire o Geode: 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib
Para actualizar el EAR implementable, según el sistema operativo, puede utilizar uno de los siguientes métodos para quitar JndiLookup.class de los log4j-core-2.xx.jar vulnerables:
  • (Linux con Oracle WebLogic o Redhat JBoss): ejecute el siguiente comando. Actualice la <version> y la información del servidor de aplicaciones antes de ejecutar estos comandos:
    • unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    • zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
  • (Linux con IBM WebSphere): ejecute el siguiente comando. Actualice la <version> y la información del servidor de aplicaciones antes de ejecutar estos comandos:
    • unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    • zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • (Microsoft Windows): utilice una herramienta GUI como 7-Zip para quitar el archivo de clase.  

3. Repita el paso 2 para cada instancia (nodo) del servidor de aplicaciones y todos los localizadores (si hay más de uno). 

4. Después de actualizar el JAR, vuelva a implementar el EAR modificado y reinicie todos los procesos del localizador y las instancias del servidor.

Nota:
  • Reemplace la copia original del JAR log4j-core-2.xx por la actualizada. No se requieren otros cambios.
  • Cuando se vuelve a ejecutar el administrador de configuración, el contenido de <FORMS_INSTALLATION_DIRECTORY
    >/configurationManager/export
    se puede sobrescribir.   Para evitar rehacer el cambio anterior cada vez que esto sucede, actualice el JAR en <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Esto garantiza que el adobe-livecycle-[jboss|weblogic|websphere].ear producido por el administrador de configuración ya tenga el JAR log4j-core-2.xx actualizado.
  • Las modificaciones manuales de los artefactos implementables se pueden sobrescribir en los parches/actualización. Si esto sucede, vuelva a aplicar el procedimiento. 

Referencias

¿Con quién debo ponerme en contacto si tengo más preguntas o problemas al seguir los pasos de mitigación?

Puede ponerse en contacto con el Soporte de Adobe o enviar un ticket de asistencia.

¿Con quién debo ponerme en contacto si tengo más preguntas o problemas al seguir los pasos de mitigación?

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?