DokumentationAEM 6.5Benutzerhandbuch

Behebung von Log4j2-Sicherheitslücken für Experience Manager Forms

Last update: Tue Sep 02 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Gilt für:
  • Experience Manager 6.5

Erstellt für:

  • Admin

Problem

Für Apache Log4j2, eine beliebte Protokollierungsbibliothek für Java-basierte Anwendungen, wurden kritische Sicherheitslücken gemeldet. Die folgenden Schwachstellen wurden analysiert:

Schwachstelle
Was ist betroffen?
Was ist nicht betroffen?
Status
CVE-2021-44228
  • Experience Manager 6.5 Forms auf JEE (alle Versionen von 6.5 GA bis 6.5.11)
  • Experience Manager 6.4 Forms auf JEE (alle Versionen von 6.4 GA bis 6.4.8)
  • Experience Manager 6.3 Forms auf JEE (alle Versionen von 6.3 GA bis 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Service zur automatisierten Formularkonvertierung
  • Experience Manager Forms Workbench (alle Versionen)
  • Experience Manager Forms auf OSGi (alle Versionen)
Diese wurden behoben. Im Abschnitt Auflösung finden Sie Korrekturen und Maßnahmen zur Risikominderung.
CVE-2021-45046
CVE-2021-45105
Keine Auswirkungen auf Experience Manager Forms-Versionen für vorkonfigurierte Protokollierungskonfigurationen. Wenn Sie zusätzliche Protokollierungskonfigurationen haben, überprüfen Sie diese Konfigurationen auf diese Sicherheitslücken.
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
AEM 6.5.13.0 Forms und frühere Versionen enthalten beide Log4j-Bibliotheken (1.x und 2.17.1). Die AEM Forms Log4j 1.x-Bibliotheken in AEM 6.5.13.0 Forms und früheren Versionen sind weder Teil der gemeldeten Sicherheitslücke noch werden sie in den von Adobe durchgeführten AEM Forms-Code-Scans als anfällig eingestuft. Alle Log4j 1.x-Bibliotheken werden jedoch in Version 6.5.14 entfernt. Anweisungen zur Installation von AEM 6.5.14.0 oder einer späteren Version finden Sie in den Versionshinweisen.

Auflösung

Sie können eine der folgenden Methoden anwenden, um das Risiko dieser Sicherheitslücke zu mindern:

  • Installieren Sie die neueste Version des Service Packs
  • Verwenden manueller Abhilfemaßnahmen

Installieren Sie die neueste Version des Service Packs

CAUTION
Wenn Sie einen Hotfix auf die Umgebung von Experience Manager Forms Service Pack 6.3.3.8 oder Experience Manager Forms Service Pack 6.4.8.4 angewendet haben, installieren Sie nicht das Service Pack mit den Fehlerbehebungen (unten aufgeführt). Durch die Installation dieser Service Packs wird der Hotfix möglicherweise überschrieben. Adobe empfiehlt in einem solchen Fall die Anwendung manueller Abhilfemaßnahmen.
Freigabe
Version
Downloadlink/Benutzeraktion
Experience Manager 6.5 Forms auf JEE
AEMForms-6.5.0-0038 (log4jv2.16)
Download von der Software-Verteilung.
Experience Manager 6.4 Forms auf JEE
AEMForms-6.4.0-0027
Experience Manager 6.3 Forms auf JEE
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
Service zur automatisierten Formularkonvertierung
Die Schritte zur Risikominderung wurden identifiziert und der Service wurde gepatcht.
Es gibt keine Benutzeraktion.

Verwenden manueller Abhilfemaßnahmen

Führen Sie für Experience Manager 6.5 Forms (log4j-core Version 2.10 und höher), Experience Manager 6.4 Forms (log4j-core Version niedriger als 2.10) und Experience Manager 6.3 Forms (log4j-core Version niedriger als 2.10) die folgenden Schritte aus, um das Problem zu beheben:

  1. Fahren Sie alle Server-Instanzen und Locator herunter.

  2. Entfernen Sie org/apache/logging/log4j/core/lookup/JndiLookup.class aus den anfälligen log4j-core-2.xx.jar, die an den folgenden Stellen verfügbar sind:

    • EAR-Datei zur Bereitstellung:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • GemFire- oder Geode-Locator:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    Um eine bereitstellbare EAR-Datei zu aktualisieren, können Sie je nach Betriebssystem eine der folgenden Methoden verwenden, um die JndiLookup.class aus den anfälligen log4j-core-2.xx.jar zu entfernen:

    • (Linux mit Oracle WebLogic oder Redhat JBoss): Führen Sie den folgenden Befehl aus. Aktualisieren Sie die version- und Anwendungs-Server-Informationen, bevor Sie diese Befehle ausführen:
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (Linux mit IBM WebSphere): Führen Sie den folgenden Befehl aus. Aktualisieren Sie die version- und Anwendungs-Server-Informationen, bevor Sie diese Befehle ausführen:
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows): Verwenden Sie ein GUI-Tool wie 7-Zip, um die Klassendatei zu entfernen.

  3. Wiederholen Sie Schritt 2 für jede Anwendungs-Server-Instanz (Knoten) und alle Locators (falls mehr als einer).

  4. Stellen Sie nach der Aktualisierung der JAR-Datei die geänderte EAR-Datei erneut bereit und starten Sie alle Locator-Prozesse und Server-Instanzen neu.

NOTE
  • Ersetzen Sie die Originalkopie der JAR-Datei „log4j-core-2.xx“ durch die aktualisierte Kopie. Es sind keine weiteren Änderungen erforderlich.
  • Wenn der Konfigurations-Manager erneut ausgeführt wird, kann der Inhalt von <FORMS_INSTALLATION_DIRECTORY/configurationManager/export überschrieben werden. Um zu vermeiden, dass die obige Änderung jedes Mal erneut durchgeführt werden muss, aktualisieren Sie die JAR-Datei in <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Dadurch wird sichergestellt, dass die vom Konfigurations-Manager erstellte adobe-livecycle-[jboss|weblogic|websphere].ear bereits über die aktualisierten log4j-core-2.xx jar verfügt.
  • Manuelle Änderungen an bereitstellbaren Artefakten können beim Patchen/Aktualisieren überschrieben werden. Sollte dies passieren, führen Sie das Verfahren erneut durch.

Verweise

https://logging.apache.org/log4j/2.x/security.html

An wen sollte ich mich wenden, wenn ich zusätzliche Fragen habe oder Probleme bei der Durchführung von Schritten zur Risikominderung auftreten?

Sie können sich an den Adobe-Support wenden oder ein Support-Ticket erstellen.

An wen sollte ich mich wenden, wenn ich zusätzliche Fragen habe oder Probleme bei der Durchführung von Schritten zur Risikominderung auftreten?
Rechtliche Hinweise | Online-Datenschutzrichtlinie

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2