- 管理ユーザーガイドの概要
- Sites の機能
- Web サイト管理
- 非同期ジョブ
- コンテンツの再利用:マルチサイトマネージャとライブコピー
- ライブコピーの概要コンソール
- ライブコピーの同期の設定
- ライブコピーの作成と同期
- MSM ロールアウトの競合
- MSM の問題のトラブルシューティングと FAQ
- MSM のベストプラクティス
- 多言語サイトのコンテンツの翻訳
- 翻訳プロジェクトの管理
- 翻訳するコンテンツの特定
- 翻訳するコンテンツの準備
- クラシック UI による言語ルートの作成
- Microsoft Translator への接続
- 翻訳統合フレームワークの設定
- 言語コピーウィザード
- 翻訳の機能強化
- 翻訳のベストプラクティス
- 設定と設定ブラウザー
- AEM FAQ
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- AEM 6 での監査ログのメンテナンス
- リッチテキストエディターの設定
- アクセス可能なサイトを生成するための RTE の設定
- ページ編集のための取り消しの設定
- リッチテキストエディタープラグインの設定
- ビデオコンポーネントの設定
- Bulk Editor
- メール通知の設定
- リンクチェッカー
- AEM のトラブルシューティング
- ワークフローへのアクセスの管理
- ワークフローの開始
- ワークフローの管理
- ワークフローインスタンスの管理
- AEM での cURL の使用
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- 検索フォームの設定
- ツールコンソール
- レポート
- レイアウトコンテナおよびレイアウトモードの設定
- 編集者
- クラシック UI へのアクセスの有効化
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザー同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- 権限管理のプリンシパルビュー
- Content Disposition フィルター
- AEM 6.5 のカスタムユーザグループマッピング
- 同じサイト cookie サポート
- パーソナライズ機能
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Adobe Learning Manager との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- IMS を使用した Adobe Analytics との統合
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classic(Scene7)との統合
- AEM Livefyre のレシピ
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- カタログ作成機能
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- IMS を使用した Adobe Target との統合
- Adobe Classifications
- ソリューション統合
- Adobe Target へのエクスペリエンスフラグメントの書き出し
- メールテンプレートのベストプラクティス
- Livefyre との統合
- ベストプラクティス
- コンテンツ管理
AEM でのシリアル化の問題の軽減
概要
アドビの AEM チームは、オープンソースプロジェクト NotSoSerial と緊密に連携して CVE-2015-7501 に記載されている脆弱性の軽減に努めています。NotSoSerial は Apache 2 ライセンスでライセンスが付与され、BSD に似た独自のライセンスでライセンスが付与される ASM コードが含まれます。
このパッケージに含まれるエージェント JAR は、アドビが変更を加えて配布する NotSoSerial です。
NotSoSerial は Java レベルの問題を解決する Java レベルのソリューションであり、AEM に固有のものではありません。これはオブジェクトのシリアル化を解除するときに、プリフライトのチェックを追加します。このチェックでは、ファイアウォールスタイルの許可リストおよびブロックリストと照合してクラス名をテストします。デフォルトのブロックリストのクラス数は限られているので、システムやコードに影響が及ぶことはありません。
デフォルトでは、エージェントは現在の既知の脆弱なクラスに対してブロックリストチェックをおこないます。このブロックリストの目的は、現在リストに掲載されている、この種類の脆弱性を利用する攻撃からユーザーを保護することです。
ブロックリストと許可リストは、この記事のエージェントの設定の手順に従って設定できます。
エージェントの目的は、最新の既知のクラスの脆弱性を軽減することです。プロジェクトで信頼されないデータのシリアル化を解除している場合でも、サービス拒否攻撃、メモリ不足攻撃および未知のシリアル化解除による攻撃に対しては脆弱なままであることがあります。
アドビは Java 6、7 および 8 を正式にサポートしていますが、NotSoSerial は Java 5 もサポートしています。
エージェントのインストール
以前に AEM 6.1 向けのシリアル化のホットフィックスをインストールした場合は、Java を実行する行からエージェントの開始コマンドを削除してください。
-
com.adobe.cq.cq-serialization-tester バンドルをインストールします。
-
Web コンソール(
https://server:port/system/console/bundles)にアクセスします。 -
シリアル化のバンドルを探して開始します。これにより、NotSoSerial エージェントが動的にオートロードされます。
アプリケーションサーバーへのエージェントのインストール
NotSoSerial エージェントは、アプリケーションサーバーの AEM の標準配布版には含まれていません。ただし、それを AEM JAR 配布版から抽出して、アプリケーションサーバーの設定に使用できます。
-
まず、AEM クイックスタートファイルをダウンロードして展開します。
java -jar aem-quickstart-6.2.0.jar -unpack -
AEM クイックスタートを展開した場所に移動し、
crx-quickstart/opt/notsoserial/フォルダーを AEM アプリケーションサーバーのインストールのcrx-quickstartフォルダーにコピーします。 -
/optの所有者を、サーバーを実行しているユーザーに変更します。chown -R opt <user running the server> -
この記事の続きの節に示すようにエージェントを設定し、エージェントが正しくアクティベートされていることを確認してください。
エージェントの設定
ほとんどのインストールにおいて、デフォルトの設定で十分機能します。これには、リモート実行の既知の脆弱性があるクラスのブロックリストや、信頼できるデータのシリアル化解除が比較的安全なパッケージの許可リストが含まれます。
ファイアウォールの設定は動的であり、次の手順でいつでも変更できます。
-
Web コンソール(
https://server:port/system/console/configMgr)にアクセスします。 -
「Deserialization Firewall Configuration」を探してクリックします
メモ次の URL から設定ページに直接アクセスすることもできます。
https://server:port/system/console/configMgr/com.adobe.cq.deserfw.impl.DeserializationFirewallImpl
この設定には、許可リスト、ブロックリスト、シリアル化解除ログが含まれています。
Allow Listing
許可リストセクションには、シリアル化解除が許可されるクラスやパッケージ接頭辞が表示されます。独自のクラスのシリアル化解除をおこなう場合は、この許可リストにクラスまたはパッケージのいずれかを追加する必要があります。
Block Listing
ブロックリストセクションには、シリアル化解除が許可されないクラスが表示されます。これらのクラスの初期セットは、リモート実行の攻撃に脆弱であると見なされるクラスに限定されています。ブロックリストは、許可リストに登録されているエントリの前に適用されます。
Diagnostinc Logging
診断ログのセクションでは、シリアル化解除の実行中にログに記録される内容を、複数のオプションから選択できます。これらは最初の使用時にログに記録され、後続の使用では記録されません。
デフォルトの class-name-only は、シリアル化が解除されるクラスを示します。
full-stack オプションを選択すると、最初にシリアル化の解除が試行されたときの Java スタックがログに記録され、シリアル化の解除が実行されている場所を示します。これは、自身の環境からシリアル化が解除されたクラスを探して削除するときに便利です。
エージェントのアクティベートの検証
次の URL にアクセスしてシリアル化を解除するエージェントの設定を確認できます。
https://server:port/system/console/healthcheck?tags=deserialization
URL にアクセスすると、エージェントに関連するヘルスチェックのリストが表示されます。ヘルスチェックに合格しているかを確認することで、エージェントが正しくアクティベートされているか判断できます。不合格の場合は、エージェントを手動で読み込む必要がある場合があります。
エージェントの問題のトラブルシューティングについて詳しくは、以下の動的なエージェントの読み込みによるエラー処理を参照してください。
org.apache.commons.collections.functors を許可リストに追加すると、ヘルスチェックは必ず失敗します。
動的なエージェントの読み込みによるエラー処理
ログにエラーがある場合や、検証ステップでエージェントの読み込み時に問題が検出された場合は、エージェントを手動で読み込む必要がある場合があります。これは、JDK(Java Development Toolkit)ではなく、動的な読み込みをおこなうツールがない JRE(Java Runtime Environment)を使用している場合にも推奨されます。
エージェントを手動で読み込むには、以下の手順に従います。
-
次のオプションを追加して、CQ JAR の JVM スタートアップパラメーターを変更します。
-javaagent:<aem-installation-folder>/crx-quickstart/opt/notsoserial/notsoserial.jarメモエージェントはフォークされた JVM では有効にできないので、CQ/AEM の -nofork オプションを、適切な JVM メモリ設定で使用する必要があります。
メモAdobe 配布版の NotSoSerial エージェント JAR は、AEM インストールの
crx-quickstart/opt/notsoserial/フォルダーにあります。 -
JVM を停止して再開します。
-
前述のエージェントのアクティベートの検証のステップに従って、エージェントのアクティベートをもう一度検証します。
その他の注意点
IBM JVM 上で実行している場合は、こちらの Java Attach API のサポートに関するドキュメントを参照してください。
Business.Adobe.com リソース
リソース
アドビアカウント
