- 管理ユーザーガイドの概要
- Sites の機能
- Web サイト管理
- 非同期ジョブ
- コンテンツの再利用:マルチサイトマネージャとライブコピー
- ライブコピーの概要コンソール
- ライブコピーの同期の設定
- ライブコピーの作成と同期
- MSM ロールアウトの競合
- MSM の問題のトラブルシューティングと FAQ
- MSM のベストプラクティス
- 多言語サイトのコンテンツの翻訳
- 翻訳プロジェクトの管理
- 翻訳するコンテンツの特定
- 翻訳するコンテンツの準備
- クラシック UI による言語ルートの作成
- Microsoft Translator への接続
- 翻訳統合フレームワークの設定
- 言語コピーウィザード
- 翻訳の機能強化
- 翻訳のベストプラクティス
- 設定と設定ブラウザー
- AEM FAQ
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- AEM 6 での監査ログのメンテナンス
- リッチテキストエディターの設定
- アクセス可能なサイトを生成するための RTE の設定
- ページ編集のための取り消しの設定
- リッチテキストエディタープラグインの設定
- ビデオコンポーネントの設定
- Bulk Editor
- メール通知の設定
- リンクチェッカー
- AEM のトラブルシューティング
- ワークフローへのアクセスの管理
- ワークフローの開始
- ワークフローの管理
- ワークフローインスタンスの管理
- AEM での cURL の使用
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- 検索フォームの設定
- ツールコンソール
- レポート
- レイアウトコンテナおよびレイアウトモードの設定
- 編集者
- クラシック UI へのアクセスの有効化
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザー同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- 権限管理のプリンシパルビュー
- Content Disposition フィルター
- AEM 6.5 のカスタムユーザグループマッピング
- 同じサイト cookie サポート
- パーソナライズ機能
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Adobe Learning Manager との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- IMS を使用した Adobe Analytics との統合
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classic(Scene7)との統合
- AEM Livefyre のレシピ
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- カタログ作成機能
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- IMS を使用した Adobe Target との統合
- Adobe Classifications
- ソリューション統合
- Adobe Target へのエクスペリエンスフラグメントの書き出し
- メールテンプレートのベストプラクティス
- Livefyre との統合
- ベストプラクティス
- コンテンツ管理
AEM でのシリアル化の問題の軽減
概要
アドビの AEM チームは、オープンソースプロジェクト NotSoSerial と緊密に連携して、CVE-2015-7501 で説明されている脆弱性の軽減を支援しています。NotSoSerial は Apache 2 ライセンスでライセンスが付与され、BSD に似た独自のライセンスでライセンスが付与される ASM コードが含まれます。
このパッケージに含まれるエージェント JAR は、アドビが変更を加えて配布する NotSoSerial です。
NotSoSerial は Java™ レベルの問題を解決する Java™ レベルのソリューションであり、AEM に固有のものではありません。これは、オブジェクトのシリアル化を解除するときに、プリフライトのチェックを追加します。このチェックでは、ファイアウォールスタイルの許可リスト、ブロックリスト、またはその両方と照合してクラス名をテストします。デフォルトのブロックリスト内のクラス数は限られているので、このテストがシステムやコードに影響を与える可能性はほとんどありません。
エージェントはデフォルトで、現在知られている脆弱なクラスに対してブロックリストチェックを実行します。このブロックリストの目的は、現在リストに掲載されている、このタイプの脆弱性を悪用した攻撃からユーザーを保護することです。
ブロックリストと許可リストは、この記事のエージェントの設定セクションの手順に従って設定できます。
このエージェントの目的は、最新の既知のクラスの脆弱性を軽減することです。プロジェクトで信頼できないデータを逆シリアル化している場合でも、サービス拒否攻撃、メモリ不足攻撃、将来的な未知の逆シリアル化攻撃に対しては依然として脆弱である可能性があります。
アドビは、Java™ 6、7、8 を公式にサポートしています。ただし、アドビでは、NotSoSerial が Java™ 5 もサポートしていると理解しています。
エージェントのインストール
以前に AEM 6.1 向けのシリアル化ホットフィックスをインストールしている場合は、Java™ を実行する行からエージェントの開始コマンドを削除します。
-
com.adobe.cq.cq-serialization-tester バンドルをインストールします。
-
Web コンソール(
https://server:port/system/console/bundles)にアクセスします。 -
シリアル化バンドルを探して起動します。これにより、NotSoSerial エージェントが動的に自動でロードされます。
アプリケーションサーバーへのエージェントのインストール
NotSoSerial エージェントは、アプリケーションサーバーの AEM の標準配布版には含まれていません。ただし、AEM jar 配布から抽出して、アプリケーションサーバーの設定で使用することができます。
-
まず、AEM クイックスタートファイルをダウンロードして抽出します。
java -jar aem-quickstart-6.2.0.jar -unpack -
AEM クイックスタートを展開した場所に移動し、
crx-quickstart/opt/notsoserial/フォルダーを AEM アプリケーションサーバーのインストールのcrx-quickstartフォルダーにコピーします。 -
/optの所有者を、サーバーを実行しているユーザーに変更します。chown -R opt <user running the server> -
この記事の次の節に示すように、エージェントを設定し、適切にアクティベートされていることを確認します。
エージェントの設定
ほとんどのインストールにおいて、デフォルトの設定で十分です。この設定には、リモート実行の既知の脆弱性があるクラスのブロックリストや、信頼できるデータの逆シリアル化が安全なパッケージの許可リストが含まれています。
ファイアウォールの設定は動的であり、次の手順でいつでも変更できます。
-
Web コンソール(
https://server:port/system/console/configMgr)にアクセスします。 -
逆シリアル化ファイアウォール設定を検索してクリックします。
メモ次の URL にアクセスして、設定ページに直接アクセスすることもできます。
https://server:port/system/console/configMgr/com.adobe.cq.deserfw.impl.DeserializationFirewallImpl
この設定には、許可リスト、ブロックリスト、逆シリアル化ログが含まれています。
許可リストへの登録
許可リストへの登録セクションには、逆シリアル化を許可されたクラスやパッケージの接頭辞が一覧表示されます。独自のクラスを逆シリアル化する場合は、クラスまたはパッケージのいずれかをこの許可リストに加えます。
ブロックリストへの登録
ブロックリストへの登録セクションには、逆シリアル化が許可されないクラスが表示されます。これらのクラスの初期セットは、リモート実行の攻撃に脆弱であると見なされるクラスに限定されています。ブロックリストは、許可リストに登録されたエントリの前に適用されます。
診断ログ
「診断ログ」セクションでは、逆シリアル化の実行中にログに記録される内容を、複数のオプションから選択できます。これらのオプションは、最初の使用時にのみログに記録され、次回以降の使用時には記録されません。
デフォルトの class-name-only を使用すると、逆シリアル化されるクラスを確認できます。
full-stack オプションを選択すると、最初にシリアル化の解除が試行されたときの Java™ スタックがログに記録され、シリアル化の解除が行われている場所を示します。これは、自身の環境からシリアル化が解除されたクラスを探して削除するときに便利です。
エージェントのアクティベートの検証
次の URL にアクセスしてシリアル化を解除するエージェントの設定を確認できます。
https://server:port/system/console/healthcheck?tags=deserialization
URL にアクセスすると、エージェントに関連するヘルスチェックのリストが表示されます。ヘルスチェックに合格しているかを確認することで、エージェントが正しくアクティベートされているか判断できます。不合格の場合は、エージェントを手動で読み込む必要があります。
エージェントの問題のトラブルシューティングについて詳しくは、以下の動的なエージェントの読み込みによるエラー処理を参照してください。
org.apache.commons.collections.functors を許可リストに追加すると、ヘルスチェックは常に失敗します。
動的なエージェントの読み込みによるエラー処理
ログにエラーがある場合や、検証ステップでエージェントの読み込み時に問題が検出された場合は、エージェントを手動で読み込みます。これは、JDK(Java™ Development Toolkit)ではなく、動的な読み込みを行うツールがない JRE(Java™ Runtime Environment)を使用している場合にも推奨されます。
エージェントを手動で読み込むには、次の手順を実行します。
-
次のオプションを追加して、CQ JAR の JVM スタートアップパラメーターを編集します。
-javaagent:<aem-installation-folder>/crx-quickstart/opt/notsoserial/notsoserial.jarメモエージェントはフォークされた JVM では有効にできないので、CQ/AEM の -nofork オプションを、適切な JVM メモリ設定で使用する必要があります。
メモAdobe 配布版の NotSoSerial エージェント JAR は、AEM インストールの
crx-quickstart/opt/notsoserial/フォルダーにあります。 -
JVM を停止して再開します。
-
前述のエージェントのアクティベートの検証のステップに従って、エージェントのアクティベートをもう一度検証します。
その他の注意点
IBM® JVM 上で実行している場合は、こちらの Java™ Attach API のサポートに関するドキュメントを参照してください。
リソース
アドビアカウント
