DocumentaciónAEM 6.5Guía del usuario

Mitigación de vulnerabilidades de Log4j2 para Experience Manager Forms

Last update: Mon May 05 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Se aplica a:
  • Experience Manager 6.5

Creado para:

  • Administrador

Problema

Se han notificado vulnerabilidades de seguridad críticas para Apache Log4j2, una popular biblioteca de registro para aplicaciones basadas en Java. Se han analizado las siguientes vulnerabilidades:

Vulnerabilidad
Qué se ve afectado
¿Qué no se ve afectado?
Estado
CVE-2021-44228
  • Experience Manager 6.5 Forms en JEE (todas las versiones desde 6.5 GA a 6.5.11)
  • Experience Manager 6.4 Forms en JEE (todas las versiones desde 6.4 GA a 6.4.8)
  • Experience Manager 6.3 Forms en JEE (todas las versiones desde 6.3 GA a 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Servicio de conversión automatizada de formularios
  • Experience Manager Forms Workbench (todas las versiones)
  • Experience Manager Forms en OSGi (todas las versiones)
Se han corregido. Consulte la sección Resolución para ver las correcciones y pasos de mitigación.
CVE-2021-45046
CVE-2021-45105
No afecta a ninguna versión de Experience Manager Forms en cuanto a las configuraciones de registro predeterminadas. Si tiene alguna configuración de registro adicional, compruebe estas configuraciones para ver si hay estas vulnerabilidades.
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
AEM 6.5.13.0 Forms y las versiones anteriores incluyen bibliotecas Log4j (1.x y 2.17.1). Las bibliotecas AEM Forms Log4j 1.x de AEM 6.5.13.0 Forms y versiones anteriores no forman parte de la vulnerabilidad registrada, ni se consideran vulnerables en los análisis de código de AEM Forms realizados por Adobe. Sin embargo, todas las bibliotecas de Log4j 1.x se eliminan de la versión 6.5.14. Para obtener instrucciones para instalar AEM 6.5.14.0 o una versión posterior, consulte notas de la versión.

Resolución

Puede utilizar uno de los siguientes métodos para mitigar el riesgo de esta vulnerabilidad:

  • Instalación del Service Pack más reciente
  • Uso de pasos de mitigación manuales

Instalar el Service Pack más reciente

CAUTION
Si ha aplicado una revisión en el entorno de Experience Manager Forms Service Pack 6.3.3.8 o Experience Manager Forms Service Pack 6.4.8.4, no instale el Service Pack con las correcciones de vulnerabilidades (enumeradas a continuación). La instalación de estos Service Packs puede sobrescribir la revisión. Adobe recomienda usar pasos de mitigación manuales en tal caso.
Versión
Versión
Vínculo de descarga/Acción del usuario
Experience Manager 6.5 Forms en JEE
AEMForms-6.5.0-0038 (log4jv2.16)
Descargar desde Distribución de software.
Experience Manager 6.4 Forms en JEE
AEMForms-6.4.0-0027
Experience Manager 6.3 Forms en JEE
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
Servicio de conversión automatizada de formularios
Se identificaron los pasos de mitigación y se aplicaron parches al servicio.
No hay ninguna acción del usuario.

Uso de pasos de mitigación manuales

Para mitigar el problema, para Experience Manager 6.5 Forms (versión log4j-core 2.10 y posterior), Experience Manager 6.4 Forms (versión log4j-core anterior a 2.10) y Experience Manager 6.3 Forms (versión log4j-core anterior a 2.10), realice los siguientes pasos:

  1. Cierre todas las instancias y ubicaciones del servidor.

  2. Quitar org/apache/logging/log4j/core/lookup/JndiLookup.class de los log4j-core-2.xx.jar vulnerables disponibles en las siguientes ubicaciones:

    • EAR implementable:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • Localizador de GemFire o Geode:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    Para actualizar el EAR implementable, según el sistema operativo, puede utilizar uno de los siguientes métodos para quitar JndiLookup.class de los log4j-core-2.xx.jar vulnerables:

    • (Linux con Oracle WebLogic o Redhat JBoss): ejecute el siguiente comando. Actualice version y la información del servidor de aplicaciones antes de ejecutar estos comandos:
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (Linux con IBM WebSphere): ejecute el siguiente comando. Actualice version y la información del servidor de aplicaciones antes de ejecutar estos comandos:
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows): Use una herramienta GUI como 7-Zip para quitar el archivo de clase.

  3. Repita el paso 2 para cada instancia (nodo) del servidor de aplicaciones y todos los localizadores (si hay más de uno).

  4. Después de actualizar el JAR, vuelva a implementar el EAR modificado y reinicie todos los procesos del localizador y las instancias del servidor.

NOTE
  • Reemplace la copia original del JAR log4j-core-2.xx por la actualizada. No se requieren otros cambios.
  • Cuando se vuelva a ejecutar el administrador de configuración, el contenido de <FORMS_INSTALLATION_DIRECTORY/configurationManager/export se puede sobrescribir. Para evitar rehacer el cambio anterior cada vez que esto sucede, actualice el JAR en <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Esto garantiza que el adobe-livecycle-[jboss|weblogic|websphere].ear producido por el administrador de configuración ya tenga el log4j-core-2.xx jar actualizado.
  • Las modificaciones manuales de los artefactos implementables se pueden sobrescribir en los parches/actualización. Si esto sucede, vuelva a aplicar el procedimiento.

Referencias

https://logging.apache.org/log4j/2.x/security.html

¿Con quién debo ponerme en contacto si tengo más preguntas o problemas al seguir los pasos de mitigación?

Puedes ponerte en contacto con el Soporte técnico de Adobe o enviar un ticket de asistencia.

¿Con quién debo ponerme en contacto si tengo más preguntas o problemas al seguir los pasos de mitigación?
Avisos legales | Política de privacidad en línea

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2