DocumentationAEM 6.5Guide de l’utilisateur

Atténuation des vulnérabilités de Log4j2 pour Experience Manager Forms

Last update: Tue Sep 02 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • S'applique à :
  • Experience Manager 6.5

Créé pour :

  • Administration

Problème

Des vulnérabilités de sécurité critiques ont été signalées pour Apache Log4j2, une bibliothèque de journalisation populaire pour les applications Java. Les vulnérabilités suivantes ont été analysées :

Vulnérabilité
Éléments affectés
Qu’est-ce qui n’est pas impacté ?
Statut
CVE-2021-44228
  • Experience Manager 6.5 Forms sur JEE (toutes les versions, de la version 6.5 en disponibilité générale à la version 6.5.11)
  • Experience Manager 6.4 Forms sur JEE (toutes les versions, de la version 6.4 en disponibilité générale à la version 6.4.8)
  • Experience Manager 6.3 Forms sur JEE (toutes les versions, de la version 6.3 en disponibilité générale à la version 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Service de conversion automatisée de formulaires
  • Workbench Experience Manager Forms (toutes les versions)
  • Experience Manager Forms sur OSGi (toutes les versions)
Ces problèmes ont été corrigés. Consultez la section Résolution pour connaître les étapes de correction et d’atténuation.
CVE-2021-45046
CVE-2021-45105
Aucun impact sur les versions d’Experience Manager Forms pour les configurations de journalisation intégrées. Si vous disposez de configurations de journalisation supplémentaires, vérifiez si ces configurations présentent les vulnérabilités suivantes.
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
AEM 6.5.13.0 Forms et les versions antérieures incluent les bibliothèques Log4j (1.x et 2.17.1). Les bibliothèques AEM Forms Log4j 1.x dans AEM 6.5.13.0 Forms et versions antérieures ne sont pas concernées par la vulnérabilité signalée et ne sont pas considérées comme vulnérables dans les analyses de code AEM Forms effectuées par Adobe. Cependant, toutes les bibliothèques Log4j 1.x ont été supprimées dans la version 6.5.14. Pour obtenir des instructions sur l’installation d’AEM 6.5.14.0 ou version ultérieure, consultez les notes de mise à jour.

Résolution

Vous pouvez utiliser l’une des méthodes suivantes pour créer atténuer le risque de cette vulnérabilité :

  • Installer le pack de services le plus récent
  • Utiliser les étapes d’atténuation manuelles

Installer le dernier pack de services

CAUTION
Si vous avez appliqué un correctif pour le pack de services Experience Manager Forms 6.3.3.8 ou pour le pack de services Experience Manager Forms 6.4.8.4, n’installez pas le pack de services avec les correctifs de vulnérabilités (répertoriés ci-dessous). L’installation de ces packs de services peut entraîner la suppression du correctif. Adobe recommande d’utiliser les étapes d’atténuation manuelle dans un tel scénario.
Version
Version
Lien de téléchargement/action de l’utilisateur ou de l’utilisatrice
Experience Manager 6.5 Forms sur JEE
AEMForms-6.5.0-0038 (log4jv2.16)
Téléchargez les fichiers à partir de la Distribution logicielle.
Experience Manager 6.4 Forms sur JEE
AEMForms-6.4.0-0027
Experience Manager 6.3 Forms sur JEE
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
Service de conversion automatisée de formulaires
Les étapes d’atténuation ont été identifiées et le service a fait l’objet d’un correctif.
Aucune action n’est requise de la part de l’utilisateur ou de l’utilisatrice.

Utiliser les étapes d’atténuation manuelles

Pour atténuer ce problème, pour Experience Manager 6.5 Forms (log4j-core version 2.10 et versions ultérieures), Experience Manager 6.4 Forms (log4j-core, versions antérieures à 2.10) et Experience Manager 6.3 Forms (log4j-core, versions antérieures à 2.10), effectuez les étapes suivantes :

  1. Arrêtez toutes les instances de serveur et tous les localisateurs.

  2. Supprimez org/apache/logging/log4j/core/lookup/JndiLookup.class du fichier log4j-core-2.xx.jar vulnérable se trouvant aux emplacements suivants :

    • EAR déployable :
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • Localisateur GemFire ou Geode :
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    Pour mettre à jour un EAR déployable, en fonction de votre système d’exploitation, vous pouvez utiliser l’une des méthodes suivantes pour supprimer JndiLookup.class du fichier vulnérable log4j-core-2.xx.jar :

    • (Linux avec Oracle WebLogic ou Redhat JBoss) : exécutez la commande suivante. Mettez à jour les informations de version et du serveur d’applications avant d’exécuter ces commandes :
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (Linux avec IBM WebSphere) : exécutez la commande suivante. Mettez à jour les informations de version et du serveur d’applications avant d’exécuter les commandes suivantes :
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows) : utilisez un outil d’interface d’utilisation graphique tel que 7-Zip pour supprimer le fichier de classe.

  3. Répétez l’étape 2 pour chaque instance (nœud) du serveur d’applications et pour tous les services de localisation (le cas échéant).

  4. Après avoir mis à jour le fichier jar, redéployez le fichier EAR modifié et redémarrez tous les processus de localisation et toutes les instances de serveur.

NOTE
  • Remplacez la version d’origine du fichier jar log4j-core-2.xx par la copie mise à jour. Aucune autre modification n’est requise.
  • Lorsque le gestionnaire de configuration est à nouveau exécuté, le contenu du dossier <FORMS_INSTALLATION_DIRECTORY/configurationManager/export peut alors être remplacé. Pour éviter d’avoir à réaliser la modification ci-dessus à chaque fois que cela se produit, mettez à jour le fichier jar dans <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Cela permet de s’assurer que le fichier adobe-livecycle-[jboss|weblogic|websphere].ear produit par le gestionnaire de configuration dispose déjà du fichier log4j-core-2.xx jar mis à jour.
  • Les modifications manuelles apportées aux artefacts déployables peuvent être remplacées lors de l’application d’un correctif ou d’une mise à niveau. Si cela se produit, effectuez à nouveau la procédure.

Références

https://logging.apache.org/log4j/2.x/security.html

Qui dois-je contacter si j’ai d’autres questions ou des problèmes lors de l’exécution des étapes d’atténuation ?

Vous pouvez contacter l’Assistance Adobe ou créer un ticket d’assistance.

Qui dois-je contacter si j’ai d’autres questions ou des problèmes lors de l’exécution des étapes d’atténuation ?
Mentions légales | Politique de confidentialité en ligne

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2