DokumentationAEM 6.5Benutzerhandbuch

Behebung von Struts 2 Schwachstellen für Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Admin

Problem

In Struts 2, einem beliebten Open-Source-Framework für die Entwicklung von Java EE-Webanwendungen, wurden kritische Sicherheitslücken entdeckt. Die folgenden Schwachstellen wurden analysiert:

Schwachstelle
Was ist betroffen?
Was ist nicht betroffen?
CVE-2023-50164
Experience Manager 6.5 Forms auf JEE (alle Versionen von 6.5 GA bis 6.5.19.0)
  • Experience Manager Forms Workbench (alle Versionen)
  • Experience Manager Forms auf OSGi (alle Versionen)
  • Experience Manager Forms as a Cloud Service

Auflösung

In der folgenden Tabelle ist die Auflösung für alle betroffenen Versionen aufgeführt:

Freigabe
Aktuelle Version
Benutzeraktion
Experience Manager 6.5 Forms auf JEE
6.5.19.0
Installieren Sie die neueste Version des Service Packs
Experience Manager 6.5 Forms auf JEE
6.5.13.0 – 6.5.18.0

Wenden Sie eine der folgenden Methoden an:

Experience Manager 6.5 Forms auf JEE
6.5 – 6.5.12.0
Installieren Sie die neueste Version des Service Packs

HINWEIS: AEM Forms unterstützt derzeit die Versionen 6.5.13.0 bis 6.5.19.0. Wenn Sie eine ältere Version verwenden, empfehlen wir ein Upgrade auf 6.5.13.0 oder eine spätere Version. Anweisungen zur Installation von AEM 6.5.13.0 oder einer späteren Version finden Sie in den Versionshinweisen.

Verwenden manueller Abhilfemaßnahmen use-manual-mitigation-steps

Sie können die manuellen Abhilfemaßnahmen verwenden, um das Problem auf AEM 6.5 Form Server mit Service Pack 13 auf AEM 6.5 Form Server mit Service Pack 18 (6.5.13.0 – 6.5.18.0) zu beheben:

  1. Laden Sie die Datei struts-core 2.5.33 jar in einen lokalen Ordner. Beispiel: C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.

  2. Laden Sie das manuelle Patching Tool für AEM Forms auf JEE von der Software Distribution herunter.

  3. Entpacken Sie das Archiv des manuellen Patching Tools.  Extrahieren Sie es beispielsweise in den /Users/labuser/Desktop/archive-patcher-1.0.0 folder. Die folgenden Dateien werden extrahiert:

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows

  1. Fahren Sie alle Server-Instanzen und Locator herunter.

  2. Öffnen Sie das Terminal-Fenster und navigieren Sie zu dem Ordner mit dem AEM Forms on JEE Manual Patching Tool (extrahierte Dateien).

  3. Führen Sie den folgenden Befehl aus, um alle Dateien mit älteren struts2-Bibliotheken zu durchsuchen. Ersetzen Sie vor Ausführung des Befehls den Pfad im Befehl durch den Pfad Ihres AEM Forms-Servers:

    code language-none 
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    note note
    NOTE
    Das Tool benötigt eine Internet-Verbindung, da es Abhängigkeiten zur Laufzeit herunterlädt. Stellen Sie daher vor Ausführung des Tools sicher, dass Sie mit dem Internet verbunden sind.

  4. Führen Sie die folgenden Befehle in der angegebenen Reihenfolge aus, um rekursive In-place-Ersetzungen durchzuführen. Ersetzen Sie vor Ausführung des Befehls den Pfad im Befehl durch den Pfad Ihres AEM Forms-Servers und die Datei struts2-core-2.5.33.jar.

    code language-none 
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar

    Mit den obigen Schritten werden alle EAR-Dateien mit älteren struts2-Bibliotheken gepatcht.

  5. Heben Sie die Bereitstellung der älteren EAR-Datei auf und stellen Sie die gepatchte EAR-Datei im Ordner „export“ auf Ihrem Anwendungs-Server bereit.

  6. Starten Sie den AEM Forms-Server.

Linux

  1. Fahren Sie alle Server-Instanzen und Locator herunter.

  2. Öffnen Sie das Terminal-Fenster und navigieren Sie zu dem Ordner mit dem AEM Forms on JEE Manual Patching Tool (extrahierte Dateien).

  3. Führen Sie den folgenden Befehl aus, um alle Dateien mit älteren struts2-Bibliotheken zu durchsuchen. Ersetzen Sie vor Ausführung des Befehls den Pfad im Befehl durch den Pfad Ihres AEM Forms-Servers:

    code language-none 
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    note note
    NOTE
    Das Tool benötigt eine Internet-Verbindung, da es Abhängigkeiten zur Laufzeit herunterlädt. Stellen Sie daher vor Ausführung des Tools sicher, dass Sie mit dem Internet verbunden sind.

  4. Führen Sie die folgenden Befehle in der angegebenen Reihenfolge aus, um rekursive In-place-Ersetzungen durchzuführen. Ersetzen Sie vor Ausführung des Befehls den Pfad im Befehl durch den Pfad Ihres AEM Forms-Servers und die Datei struts2-core-2.5.33.jar.

    code language-none 
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar

    Mit den obigen Schritten werden alle EAR-Dateien mit älteren struts2-Bibliotheken gepatcht.

  5. Heben Sie die Bereitstellung der älteren EAR-Datei auf und stellen Sie die gepatchte EAR-Datei im Ordner „export“ auf Ihrem Anwendungs-Server bereit.

  6. Starten Sie den AEM Forms-Server.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2