Vulnerabilidade de desserialização na biblioteca Apache commons-collections

A Adobe tomou conhecimento de uma vulnerabilidade de desserialização na biblioteca de coleções de usuários do Apache. A vulnerabilidade pode levar à Execução Remota de Código e afeta os clientes que usam servidores de aplicativos Oracle WebLogic, IBM WebSphere e Red Hat JBoss.

Siga as seguintes etapas para corrigir a vulnerabilidade:

  1. Instale as correções de segurança para seu servidor de aplicativos:

    A tabela a seguir lista os Alertas ou Alertas de Segurança que a Oracle, a IBM e a Red Hat lançaram para a vulnerabilidade.

    Os clientes que usam essas tecnologias são aconselhados a obter as correções de segurança diretamente dos fornecedores do servidor de aplicativos e a aplicá-las conforme recomendado. Os clientes que usam o software turnkey da JBoss, e que não têm um contrato de suporte com a Red Hat, podem entrar em contato com o suporte corporativo da Adobe para obter os patches do JBoss quando os patches forem disponibilizados pela Red Hat.

  2. Baixe e instale o hotfix-NPR-8364:

    1. Faça login na instância do AEM como administrador e abra o compartilhamento de pacote. O URL padrão do compartilhamento de pacote é http://[server]:[port]/crx/packageshare.

    2. No compartilhamento de pacotes, pesquise CQ-ALL-hotfix-NPR-8364, clique no pacote e clique em Baixar. Leia e aceite o contrato de licença e clique em OK. O download se iniciará. Quando o download for concluído, a palavra Baixado aparecerá ao lado do pacote.

      Como alternativa, você também pode usar o hiperlink http://t.info.adobesystems.com/r/?id=hb5e38e83,33b182ff,33b688fb para baixar manualmente um pacote.

    3. Depois que o download for concluído, clique em Baixado. Você é redirecionado para o gerenciador de pacotes.  No gerenciador de pacotes, pesquise no pacote baixado e clique em Instalar.  

      Se você baixar manualmente o pacote via link direto, abra o gerenciador de pacotes, clique em Carregar Pacote, selecione o pacote baixado e clique em upload. Após o upload do pacote, clique no nome do pacote e clique em Instalar. O URL padrão do Gerenciador de Pacotes é http://[server]:[port]/lc/crx/packmgr/index.jsp.            

    4. Depois que o pacote for instalado, abra o URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html na janela do navegador e faça o download do notsoserial-[version].jar.   

      Copie o arquivo notsoserial-[version].jar baixado para o servidor que possui formulários AEM implantados.

      Observação:

      Certifique-se de que o usuário que está executando o servidor de aplicativos tenha permissões para ler e gravar no diretório do servidor que contém o arquivo jar transferido por download.

    5. Inclua o seguinte argumento da JVM no script de inicialização do servidor de aplicativos:

      -javaagent:[path]/notsoserial-[version]

      [path] é o local no servidor que contém o arquivo notsoserial-[version].jar.

    6. Reinicie o servidor do aplicativo.

    7. Abra o URL http://[host]:[port]/lc/libs/cq/sercheck/run/tester.html em uma janela do navegador. Verifique se os resultados do teste de serialização estão definidos como OK.

  3. Se você estiver usando o complemento de segurança de documentos do Adobe Experience Manager ou o LiveCycle Rights Management, instale a correção rápida aplicável:

    Versão de produto

    Quick Fix

    Pacote de recursos do Adobe Experience Manager 6.1 Forms 1

    Formulários do Adobe Experience Manager 6.0

    LiveCycle ES4 SP1

    LiveCycle ES3 SP2

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?