Mitigación de vulnerabilidades de Struts 2 para Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Problema

Se han notificado vulnerabilidades de seguridad críticas para Struts 2, un marco de aplicación web popular y de código abierto para el desarrollo de aplicaciones web Java EE. Se han analizado las siguientes vulnerabilidades:

Vulnerabilidad
¿Qué se ve afectado?
¿Qué no se ve afectado?
CVE-2023-50164
Experience Manager 6.5 Forms en JEE (todas las versiones desde 6.5 GA a 6.5.19.0)
  • Experience Manager Forms Workbench (todas las versiones)
  • Experience Manager Forms en OSGi (todas las versiones)
  • Experience Manager Forms as a Cloud Service

Resolución

La siguiente tabla muestra la resolución de todas las versiones afectadas:

Versión
Versión actual
Acción del usuario
Experience Manager 6.5 Forms en JEE
6.5.19.0
Instalar el Service Pack más reciente
Experience Manager 6.5 Forms en JEE
6.5.13.0: 6.5.18.0

Utilice uno de los siguientes métodos:

Experience Manager 6.5 Forms en JEE
6.5 - 6.5.12.0
Instalar el Service Pack más reciente

NOTA: AEM Forms admite actualmente las versiones 6.5.13.0 a 6.5.19.0. Si utiliza una versión anterior, le recomendamos que la actualice a la versión 6.5.13.0 o una posterior. AEM Para obtener instrucciones para instalar la versión 6.5.13.0 de o posterior, consulte las notas de la versión.

Uso de pasos de mitigación manuales use-manual-mitigation-steps

AEM AEM Puede utilizar los pasos de mitigación manuales para resolver el problema en el servidor de formularios 6.5 que ejecuta el paquete de servicio 13 a servidor de formularios 6.5 que ejecuta el paquete de servicio 18 (6.5.13.0 - 6.5.18.0):

  1. Descargue struts-core 2.5.33 jar a una carpeta local. Por ejemplo, C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.

  2. Descargue la herramienta de revisión manual de AEM Forms en JEE desde Distribución de software.

  3. Descomprima el archivo de la herramienta de aplicación manual de parches. Por ejemplo, realice la extracción en /Users/labuser/Desktop/archive-patcher-1.0.0 folder. Se extraen los siguientes archivos:

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows
  1. Cierre todas las instancias y ubicaciones del servidor.

  2. Abra la ventana del terminal y vaya a la carpeta que contiene la Herramienta de aplicación manual de parches de AEM Forms en JEE (archivos extraídos).

  3. Ejecute el siguiente comando para buscar todos los archivos con bibliotecas struts2 más antiguas. Antes de ejecutar el comando, reemplace la ruta del comando por la ruta del servidor de AEM Forms:

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    La herramienta requiere conectividad a Internet, ya que descarga dependencias en tiempo de ejecución. Por lo tanto, antes de ejecutar la herramienta, asegúrese de que está conectado a Internet.
  4. Ejecute los siguientes comandos en el orden indicado para el reemplazo recurrente in situ. Antes de ejecutar el comando, reemplace la ruta del comando por la ruta de acceso del servidor de AEM Forms y el archivo struts2-core-2.5.33.jar.

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar
    

    Los pasos anteriores parchean todos los archivos ear con bibliotecas struts2 más antiguas.

  5. Anule la implementación del EAR anterior e implemente el archivo EAR parcheado, disponible en la carpeta de exportación, en el servidor de aplicaciones.

  6. Inicie el servidor de AEM Forms.

Linux
  1. Cierre todas las instancias y ubicaciones del servidor.

  2. Abra la ventana del terminal y vaya a la carpeta que contiene la Herramienta de aplicación manual de parches de AEM Forms en JEE (archivos extraídos).

  3. Ejecute el siguiente comando para buscar todos los archivos con bibliotecas struts2 más antiguas. Antes de ejecutar el comando, reemplace la ruta del comando por la ruta del servidor de AEM Forms:

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    La herramienta requiere conectividad a Internet, ya que descarga dependencias en tiempo de ejecución. Por lo tanto, antes de ejecutar la herramienta, asegúrese de que está conectado a Internet.
  4. Ejecute los siguientes comandos en el orden indicado para el reemplazo recurrente in situ. Antes de ejecutar el comando, reemplace la ruta del comando por la ruta de acceso del servidor de AEM Forms y el archivo struts2-core-2.5.33.jar.

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar
    

    Los pasos anteriores parchean todos los archivos ear con bibliotecas struts2 más antiguas.

  5. Anule la implementación del EAR anterior e implemente el archivo EAR parcheado, disponible en la carpeta de exportación, en el servidor de aplicaciones.

  6. Inicie el servidor de AEM Forms.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2