- Información general sobre la guía del usuario de administración
- Características de Sites
- Administración de sitios web
- Reutilización del contenido: administrador de varios sitios y Live Copy
- Información general de Live Copy
- Configuración de la sincronización de Live Copy
- Creación y sincronización de Live Copies
- Conflictos de despliegue de MSM
- Prácticas recomendadas de MSM
- Traducción de contenido para sitios multilingües
- Administración de proyectos de traducción
- Identificación del contenido a traducir
- Preparación del contenido para su traducción
- Creación de una raíz de idioma mediante la IU clásica
- Volver a conectar con Microsoft Translator
- Configuración del marco de trabajo de integración de traducción
- Asistente para copia de idioma
- Mejoras en la traducción
- Prácticas recomendadas de traducción
- Configuraciones y el explorador de configuración
- Preguntas más frecuentes sobre AEM
- Operaciones
- Tableros
- Tablero de operaciones
- Copia de seguridad y restauración
- Recolección de papelera del almacén de datos
- Monitorización de recursos del servidor utilizando la consola JMX
- Uso de registros
- Configuración del Editor de texto enriquecido
- Configuración del componente Vídeo
- Editor masivo
- Configuración de notificaciones por correo electrónico
- Configuración de RTE para producir sitios accesibles
- El verificador de vínculos
- Solución de problemas de AEM
- Mantenimiento del registro de auditoría en AEM 6
- Editor
- Administración del acceso a los flujos de trabajo
- Uso de cURL con AEM
- Configuración de Deshacer para la edición de páginas
- Herramienta Servidor proxy (proxy.jar)
- Configuración para aplicaciones AEM
- Administración de flujos de trabajo
- Configurar formularios de búsqueda
- Consolas de herramientas
- Informes
- Administración de instancias de flujo de trabajo
- Configuración del contenedor de diseño y el modo de diseño
- Habilitar el acceso a la IU clásica
- Inicio de flujos de trabajo
- Configuración de los complementos del Editor de texto enriquecido
- Admin Console
- Seguridad
- Administración de usuarios y seguridad
- Administración de derechos de usuario, grupo y acceso
- Lista de comprobación de seguridad
- OWASP Top 10
- Ejecución de AEM en el modo Producción lista
- Administración de identidades
- Autenticación de IMS de Adobe y compatibilidad con Admin Console para AEM Managed Services
- Creación de un grupo de usuarios cerrado
- Mitigación de problemas de serialización en AEM
- Sincronización de usuarios
- Compatibilidad con tokens encapsulados
- Inicio de sesión único
- Cómo auditar las operaciones de administración de usuarios en AEM
- SSL predeterminado
- Controlador de autenticación SAML 2.0
- Grupos de usuarios cerrados en AEM
- Operaciones de Granite: administración de usuarios y grupos
- Activación del CRXDE Lite en AEM
- Configuración de LDAP con AEM 6
- Configurar la contraseña de administrador en la instalación
- Usuarios de servicio en AEM
- Compatibilidad con cifrado para propiedades de configuración
- Gestión de solicitudes de RGPD para la base de AEM
- Filtro Disposición de contenido
- Personalización
- eCommerce
- Integración
- Integración con servicios de terceros
- Integración con Salesforce
- Integración con Adobe Target
- Integración con Adobe Analytics
- Conectarse a Adobe Analytics y crear marcos
- Configuración de Seguimiento de vínculos para Adobe Analytics
- Asignación de datos de componente con propiedades de Adobe Analytics
- Configuración del seguimiento de vídeo para Adobe Analytics
- Preguntas frecuentes sobre la entrega de contenido HTTP2
- Resolución de problemas de la integración de Adobe Campaign
- Licencias de SharePoint Connector, avisos de copyright y exenciones de responsabilidad
- Conector de SharePoint
- Preguntas frecuentes sobre el fin de vida útil del visualizador DHTML
- Integración con Adobe Campaign Classic
- Artículos relacionados de la comunidad
- Integración con Adobe Campaign Standard
- Aviso de fin de vida útil para el visualizador Flash
- Integración con Adobe Creative Cloud
- Integración con Adobe Dynamic Tag Management
- Inclusión en Adobe Analytics y Adobe Target
- Portales AEM y portlets
- Integración con Dynamic Media Classic
- Resolución de problemas de integración
- Integración con BrightEdge Content Optimizer
- Prácticas recomendadas para plantillas de correo electrónico
- Productor de catálogos
- Integración con Silverpop Engage
- Integración con Adobe Campaign
- Integración con ExactTarget
- Analytics con proveedores externos
- Integración con Adobe Marketing Cloud
- Configuración manual de la integración con Adobe Target
- Requisitos previos para la integración con Adobe Target
- Clasificaciones de Adobe
- Integración de soluciones
- Integración de Target con fragmentos de experiencias
- Prácticas recomendadas
- Gestión de contenido
Mitigación de problemas de serialización en AEM
AEM 6.4 ha llegado al final de la compatibilidad ampliada y esta documentación ya no se actualiza. Para obtener más información, consulte nuestra períodos de asistencia técnica. Buscar las versiones compatibles here.
Información general
El equipo de AEM en el Adobe ha estado trabajando estrechamente con el proyecto de código abierto NotSoSerial para ayudar a mitigar las vulnerabilidades descritas en CVE-2015-7501. NotSoSerial tiene licencia de Licencia de Apache 2 e incluye código ASM con licencia propia Licencia similar a BSD.
El jar del agente incluido en este paquete es la distribución modificada de NotSoSerial por parte del Adobe.
NotSoSerial es una solución a nivel de Java para un problema a nivel de Java y no es AEM específico. Agrega una comprobación preliminar a un intento de deserializar un objeto. Esta comprobación probará un nombre de clase con una lista de permitidos o lista de bloqueados de estilo firewall. Debido al número limitado de clases en la lista de bloqueados predeterminada, es poco probable que esto afecte a los sistemas o el código.
De forma predeterminada, el agente realizará una comprobación de lista de bloqueados con las clases vulnerables conocidas actualmente. Esta lista de bloqueados está diseñada para protegerle de la lista actual de vulnerabilidades que utilizan este tipo de vulnerabilidad.
La lista de bloqueados y la lista de permitidos se pueden configurar siguiendo las instrucciones de la sección Configuración del agente de este artículo.
El agente pretende ayudar a mitigar las últimas clases vulnerables conocidas. Si el proyecto está deserializando datos que no son de confianza, puede que siga siendo vulnerable a ataques de denegación de servicio, ataques de memoria insuficiente y explosiones de deserialización futuras desconocidas.
Adobe es compatible oficialmente con Java 6, 7 y 8, pero entendemos que NotSoSerial también admite Java 5.
Instalación del agente
Si ha instalado anteriormente la corrección de serialización para AEM 6.1, elimine los comandos de inicio del agente de la línea de ejecución de java.
-
Instale el com.adobe.cq.cq-serialization-tester paquete.
-
Vaya a la consola web de paquetes en
https://server:port/system/console/bundles -
Busque el paquete de serialización e inícielo. Esto debería cargar automáticamente el agente NotSoSerial de forma dinámica.
Instalación del agente en servidores de aplicaciones
El agente NotSoSerial no está incluido en la distribución estándar de AEM para servidores de aplicaciones. Sin embargo, puede extraerlo de la distribución jar de AEM y utilizarlo con la configuración del servidor de aplicaciones:
-
En primer lugar, descargue el archivo de inicio rápido AEM y extráigalo:
java -jar aem-quickstart-6.2.0.jar -unpack -
Vaya a la ubicación del inicio rápido AEM recién descomprimido y copie el
crx-quickstart/opt/notsoserial/a lacrx-quickstartcarpeta de la instalación del servidor de aplicaciones de AEM. -
Cambiar la propiedad de
/optal usuario que ejecuta el servidor:chown -R opt <user running the server> -
Configure y compruebe que el agente se haya activado correctamente, tal y como se muestra en las siguientes secciones de este artículo.
Configuración del agente
La configuración predeterminada es adecuada para la mayoría de las instalaciones. Esto incluye una lista de bloqueados de clases vulnerables de ejecución remota conocidas y una lista de permitidos de paquetes donde la deserialización de datos de confianza debería ser relativamente segura.
La configuración del cortafuegos es dinámica y se puede cambiar en cualquier momento:
-
Ir a la consola web en
https://server:port/system/console/configMgr -
Buscando y haciendo clic en Deserialización de la configuración del cortafuegos.
NOTATambién puede llegar a la página de configuración directamente accediendo a la dirección URL en:
https://server:port/system/console/configMgr/com.adobe.cq.deserfw.impl.DeserializationFirewallImpl
Esta configuración contiene el registro de lista de permitidos, lista de bloqueados y deserialización.
Permitir listado
En la sección de lista de permitidos, son clases o prefijos de paquete que se permitirán para la deserialización. Es importante tener en cuenta que si está deserializando clases propias, necesitará añadir las clases o paquetes a esta lista de permitidos.
Lista de bloqueados
En la sección de lista de bloques hay clases que nunca se permiten para la deserialización. El conjunto inicial de estas clases se limita a las clases que se han encontrado vulnerables a ataques de ejecución remota. La lista de bloqueados se aplica antes de cualquier entrada permitida en la lista de entradas.
Registro de diagnóstico
En la sección para el registro de diagnóstico, puede elegir varias opciones para registrar cuándo se está realizando la deserialización. Solo se inician sesión en el primer uso y no se vuelven a iniciar sesión en usos posteriores.
El valor predeterminado de class-name-only le informará de las clases que se están deserializando.
También puede configurar la variable pila completa que registrará una pila java del primer intento de deserialización para informarle dónde se está realizando la deserialización. Esto puede resultar útil para encontrar y eliminar la deserialización de su uso.
Verificación de la activación del agente
Puede verificar la configuración del agente de deserialización navegando a la dirección URL en:
https://server:port/system/console/healthcheck?tags=deserialization
Una vez que acceda a la dirección URL, se mostrará una lista de comprobaciones de estado relacionadas con el agente. Puede determinar si el agente está correctamente activado comprobando que los controles de estado están pasando. Si están fallando, es posible que tenga que cargar el agente manualmente.
Para obtener más información sobre la resolución de problemas con el agente, consulte Gestión De Errores Con Carga Dinámica Del Agente más abajo.
Si agrega org.apache.commons.collections.functors a la lista de permitidos, la comprobación de estado siempre fallará.
Gestión de errores con carga de agentes dinámicos
Si se exponen errores en el registro o los pasos de verificación detectan un problema al cargar el agente, es posible que tenga que cargar el agente manualmente. Esto también se recomienda en caso de que esté utilizando un JRE (Java Runtime Environment) en lugar de un JDK (Java Development Toolkit), ya que las herramientas para la carga dinámica no están disponibles.
Para cargar el agente manualmente, siga las siguientes instrucciones:
-
Modifique los parámetros de inicio de JVM del jar CQ, agregando la siguiente opción:
-javaagent:<aem-installation-folder>/crx-quickstart/opt/notsoserial/notsoserial.jarNOTAEsto requiere utilizar la opción -nofork CQ/AEM, junto con la configuración de memoria JVM adecuada, ya que el agente no se habilitará en una JVM ramificada.
NOTALa distribución de Adobe del jar del agente NotSoSerial se encuentra en la
crx-quickstart/opt/notsoserial/carpeta de la instalación de AEM. -
Detenga y reinicie la JVM;
-
Vuelva a verificar la activación del agente siguiendo los pasos descritos anteriormente en Verificación de la activación del agente.
Otras consideraciones
Si está ejecutando una JVM de IBM, consulte la documentación sobre la compatibilidad con la API de conexión de Java en esta ubicación.
Recursos
Cuenta de Adobe
