- Panoramica sulla guida utente per l’amministrazione
- Funzioni di Sites
- Amministrazione di siti Web
- Riutilizzo del contenuto: Multi-Site Manager e Live Copy
- Panoramica Live Copy
- Configurazione della sincronizzazione di una Live Copy
- Creazione e sincronizzazione di Live Copy
- Conflitti di rollout MSM
- Best practice MSM
- Traduzione di contenuti per siti multilingue
- Gestione dei progetti di traduzione
- Identificazione del contenuto da tradurre
- Preparazione del contenuto per la traduzione
- Creazione di una directory principale della lingua tramite l’interfaccia classica
- Connetti a Microsoft Translator
- Configurazione del framework di integrazione della traduzione
- Creazione guidata copia lingua
- Miglioramenti alla traduzione
- Best practice per la traduzione
- Configurazioni e browser di configurazione
- Domande frequenti su AEM
- Operazioni
- Dashboard
- Dashboard operazioni
- Backup e ripristino
- Archivio dati raccolta oggetti inattivi
- Monitoraggio delle risorse del server tramite la console JMX
- Utilizzo dei registri
- Configurare l’editor Rich Text
- Configurare il componente Video
- Editor in blocco
- Configurazione delle notifiche e-mail
- Configurazione dell’editor Rich Text per la produzione di siti accessibili
- Verifica collegamenti
- Risoluzione dei problemi AEM
- Manutenzione del registro di controllo dell’AEM 6
- Editor
- Gestione dell’accesso ai flussi di lavoro
- Utilizzo di cURL con AEM
- Configurazione dell’annullamento per la modifica delle pagine
- Strumento Server proxy (proxy.jar)
- Configurazione per le app AEM
- Amministrazione dei flussi di lavoro
- Configurazione dei moduli di ricerca
- Console Strumenti
- Generazione rapporti
- Amministrazione delle istanze dei flussi di lavoro
- Configurazione del contenitore di layout e della modalità layout
- Abilitazione dell’accesso all’interfaccia classica
- Avvio dei flussi di lavoro
- Configurare i plug-in dell’Editor Rich Text
- Admin Console
- Sicurezza
- Amministrazione degli utenti e sicurezza
- Amministrazione di utenti, gruppi e diritti di accesso
- Elenco di controllo della sicurezza
- OWASP Top 10
- Esecuzione di AEM in modalità pronta per la produzione
- Gestione identità
- Autenticazione Adobe IMS e supporto Admin Console per AEM Managed Services
- Creazione di un gruppo utenti chiuso
- Mitigazione dei problemi di serializzazione nell’AEM
- Sincronizzazione utente
- Supporto di token incapsulati
- Single Sign-On
- Come controllare le operazioni di gestione degli utenti in AEM
- SSL per impostazione predefinita
- Gestore di autenticazione SAML 2.0
- Gruppi di utenti chiusi nell’AEM
- Operazioni Granite: amministrazione di utenti e gruppi
- Abilitazione di CRXDE Lite nell’AEM
- Configurazione di LDAP con AEM 6
- Configurare la password amministratore durante l’installazione
- Utenti di servizi in AEM
- Supporto della crittografia per le proprietà di configurazione
- Gestione delle richieste RGPD per la Fondazione AEM
- Filtro eliminazione contenuti
- Personalizzazione
- Personalizzazione
- Configurazione di ContextHub
- ClientContext
- Campagne
- Configurazione della segmentazione con ContextHub
- Configurazione della segmentazione
- Estensione e configurazione di Importazione progettazione per le pagine di destinazione
- Integrazione delle pagine di destinazione con Adobe Analytics
- eCommerce
- Integrazione
- Integrazione con servizi di terze parti
- Integrazione con Salesforce
- Integrazione con Adobe Target
- Integrazione con Adobe Analytics
- Connessione ad Adobe Analytics e creazione di framework
- Configurazione del tracciamento dei collegamenti per Adobe Analytics
- Mappatura dei dati dei componenti con le proprietà di Adobe Analytics
- Configurazione del tracciamento video per Adobe Analytics
- Domande frequenti sulla distribuzione dei contenuti HTTP2
- Risoluzione dei problemi di integrazione Adobe Campaign
- Licenze del connettore SharePoint, avvisi sul copyright e liberatorie
- Connettore SharePoint
- Domande frequenti sulla fine del ciclo di vita del visualizzatore DHTML
- Integrazione con Adobe Campaign Classic
- Articoli della community correlati
- Integrazione con Adobe Campaign Standard
- Avviso sulla fine del ciclo di vita dei visualizzatori Flash
- Integrazione con Adobe Creative Cloud
- Integrazione con Adobe Dynamic Tag Management
- Scelta di Adobe Analytics e Adobe Target
- Portali e portlet AEM
- Integrazione con Dynamic Media Classic
- Risoluzione dei problemi di integrazione
- Integrazione con BrightEdge Content Optimizer
- Best practice per i modelli e-mail
- Produttore catalogo
- Integrazione con Silverpop Engage
- Integrazione con Adobe Campaign
- Integrazione con ExactTarget
- Analytics con provider esterni
- Integrazione con Adobe Marketing Cloud
- Configurazione manuale dell’integrazione con Adobe Target
- Prerequisiti per l’integrazione con Adobe Target
- Classificazioni Adobe
- Integrazione di soluzioni
- Integrazione di Target con frammenti esperienza
- Best practice
- Gestione dei contenuti
Riduzione dei problemi di serializzazione in AEM
Panoramica
Il team AEM del Adobe ha lavorato a stretto contatto con il progetto open source NotSoSerial per aiutare a mitigare le vulnerabilità descritte in CVE-2015-7501. NotSoSerial è concesso in licenza con la licenza Apache 2 e include il codice ASM concesso in licenza con la propria licenza BSD.
L'agente Jar incluso con questo pacchetto è Adobe distribuzione modificata di NotSoSerial.
NotSoSerial è una soluzione a livello Java per un problema a livello Java e non è AEM specifico. Aggiunge un controllo di verifica preliminare a un tentativo di deserializzazione di un oggetto. Questo controllo verifica il nome di una classe rispetto a un elenco consentiti e/o in stile firewall. A causa del numero limitato di classi nel elenco Bloccati di predefinito, è improbabile che questo abbia un impatto sui sistemi o sul codice.
Per impostazione predefinita, l'agente eseguirà un controllo di elenco Bloccati rispetto alle classi vulnerabili attualmente note. Questo elenco Bloccati è inteso a proteggere l'utente dall'elenco corrente di sfruttatori che utilizzano questo tipo di vulnerabilità.
Il elenco Bloccati e il elenco consentiti possono essere configurati seguendo le istruzioni fornite nella sezione Configuring the Agent di questo articolo.
L'agente ha lo scopo di attenuare le ultime classi vulnerabili conosciute. Se il progetto sta deserializzando dati non attendibili, potrebbe comunque essere vulnerabile agli attacchi di negazione del servizio, agli attacchi di memoria esauriti e agli attacchi di deserializzazione futuri sconosciuti.
Adobe supporta ufficialmente Java 6, 7 e 8, tuttavia la nostra comprensione è che NotSoSerial supporta anche Java 5.
Installazione dell'agente
Se avete già installato in precedenza l'hotfix di serializzazione per AEM 6.1, rimuovete i comandi di avvio dell'agente dalla riga di esecuzione Java.
-
Installate il pacchetto com.adobe.cq.cq-serialization-tester.
-
Andate alla console Web del pacchetto all'indirizzo
https://server:port/system/console/bundles -
Cercate il bundle di serializzazione e avviatelo. Questo dovrebbe caricare dinamicamente l'agente NotSoSerial.
Installazione dell'agente sui server applicazioni
L'agente NotSoSerial non è incluso nella distribuzione standard di AEM per i server delle applicazioni. Tuttavia, è possibile estrarlo dalla distribuzione AEM Jar e utilizzarlo con la configurazione del server applicazione:
-
Innanzitutto, scaricate il AEM file quickstart ed estraetelo:
java -jar aem-quickstart-6.2.0.jar -unpack -
Andate al percorso del AEM rapido decompresso di recente e copiate la cartella
crx-quickstart/opt/notsoserial/nella cartellacrx-quickstartdell'installazione del server dell'applicazione AEM. -
Modificare la proprietà di
/optper l'utente che esegue il server:chown -R opt <user running the server> -
Configurate e verificate che l'agente sia stato attivato correttamente, come illustrato nelle sezioni seguenti di questo articolo.
Configurazione dell'agente
La configurazione predefinita è adeguata per la maggior parte delle installazioni. Ciò include un elenco Bloccati di classi vulnerabili di esecuzione remota conosciute e un elenco consentiti di pacchetti in cui la deserializzazione dei dati attendibili dovrebbe essere relativamente sicura.
La configurazione del firewall è dinamica e può essere modificata in qualsiasi momento:
-
Passate alla console Web all'indirizzo
https://server:port/system/console/configMgr -
Ricerca e clic su Configurazione firewall di deserializzazione.
NOTAPotete inoltre accedere direttamente alla pagina di configurazione accedendo all’URL all’indirizzo:
https://server:port/system/console/configMgr/com.adobe.cq.deserfw.impl.DeserializationFirewallImpl
Questa configurazione contiene il elenco consentiti , il elenco Bloccati e la registrazione della deserializzazione.
Consenti elenco
Nella sezione Consenti elenco, si tratta di classi o prefissi di pacchetti che saranno consentiti per la deserializzazione. È importante tenere presente che se si deserializzano le classi, sarà necessario aggiungere le classi o i pacchetti a questo elenco consentiti .
Elenco dei blocchi
Nella sezione elenco blocchi sono incluse le classi che non possono essere deserializzate. La serie iniziale di queste classi è limitata alle classi che sono state trovate vulnerabili agli attacchi di esecuzione remota. Il elenco Bloccati viene applicato prima di qualsiasi voce di elenco di tipo Consenti.
Registrazione diagnostica
Nella sezione per la registrazione diagnostica, potete scegliere diverse opzioni di registrazione quando viene eseguita la deserializzazione. Questi vengono registrati solo per il primo utilizzo e non vengono registrati di nuovo per gli usi successivi.
Il valore predefinito di class-name-only vi informerà delle classi che vengono deserializzate.
Potete anche impostare l'opzione full-stack che consente di registrare uno stack Java del primo tentativo di deserializzazione per informarvi in quale punto si trova la deserializzazione. Questo può essere utile per trovare e rimuovere la deserializzazione dall’utilizzo.
Verifica dell'attivazione dell'agente
Per verificare la configurazione dell'agente di deserializzazione, andate all'URL all'indirizzo:
https://server:port/system/console/healthcheck?tags=deserialization
Una volta effettuato l'accesso all'URL, viene visualizzato un elenco di controlli di integrità relativi all'agente. È possibile determinare se l'agente è attivato correttamente verificando che i controlli di integrità siano superati. In caso di errore, potrebbe essere necessario caricare l'agente manualmente.
Per ulteriori informazioni sulla risoluzione dei problemi con l'agente, vedere Gestione degli errori con caricamento dinamico dell'agente di seguito.
Se aggiungete org.apache.commons.collections.functors al elenco consentiti , il controllo dello stato di salute avrà sempre esito negativo.
Gestione degli errori con caricamento dell'agente dinamico
Se nel registro sono riportati degli errori o i passaggi di verifica rilevano un problema durante il caricamento dell'agente, potrebbe essere necessario caricare l'agente manualmente. Questo è consigliato anche nel caso in cui si utilizzi un JRE (Java Runtime Environment) invece di un JDK (Java Development Toolkit), poiché gli strumenti per il caricamento dinamico non sono disponibili.
Per caricare l'agente manualmente, seguire le istruzioni riportate di seguito:
-
Modificate i parametri di avvio JVM del Jar CQ, aggiungendo la seguente opzione:
-javaagent:<aem-installation-folder>/crx-quickstart/opt/notsoserial/notsoserial.jarNOTAQuesto richiede l'utilizzo dell'opzione -nofork CQ/AEM, insieme alle impostazioni di memoria JVM appropriate, in quanto l'agente non sarà abilitato su una JVM biforcata.
NOTALa distribuzione Adobe del Jar agente NotSoSerial si trova nella cartella
crx-quickstart/opt/notsoserial/dell'installazione AEM. -
Arrestare e riavviare la JVM;
-
Verificare nuovamente l'attivazione dell'agente seguendo i passaggi descritti in Verifica dell'attivazione dell'agente.
Altre considerazioni
Se si è in esecuzione su una JVM IBM, consultare la documentazione relativa al supporto per l'API Java Attach in questo percorso.
Risorse
Account Adobe
