Réduction des vulnérabilités des débuts 2 pour Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Problème

Des vulnérabilités de sécurité critiques ont été signalées pour Struts 2, un framework d’applications web populaire et open source pour le développement d’applications web Java EE. Les vulnérabilités suivantes ont été analysées :

Vulnérabilité
Qu'est-ce qui est impacté ?
Qu'est-ce qui n'a pas d'impact ?
CVE-2023-50164
Experience Manager 6.5 Forms on JEE (toutes les versions de 6.5 GA à 6.5.19.0)
  • Experience Manager Forms Workbench (toutes versions)
  • Experience Manager Forms sur OSGi (toutes les versions)
  • Experience Manager Forms as a Cloud Service

Résolution

Le tableau suivant répertorie la résolution pour toutes les versions affectées :

Version
Version actuelle
Action de l’utilisateur
Experience Manager 6.5 Forms on JEE
6.5.19.0
Installation du dernier Service Pack
Experience Manager 6.5 Forms on JEE
6.5.13.0 - 6.5.18.0

Utilisez l’une des méthodes suivantes :

Experience Manager 6.5 Forms on JEE
6.5 - 6.5.12.0
Installation du dernier Service Pack

REMARQUE : AEM Forms prend actuellement en charge les versions 6.5.13.0 à 6.5.19.0. Si vous utilisez une ancienne version, nous vous recommandons de mettre à niveau vers la version 6.5.13.0 ou une version ultérieure. Pour obtenir des instructions sur l’installation d’AEM version 6.5.13.0 ou ultérieure, voir les notes de mise à jour.

Utilisation des étapes de limitation manuelles use-manual-mitigation-steps

Vous pouvez utiliser les étapes de limitation manuelle pour résoudre le problème sur AEM 6.5 Form Server exécutant le Service Pack 13 vers AEM 6.5 Form Server exécutant le Service Pack 18 (6.5.13.0 - 6.5.18.0) :

  1. Téléchargez la struts-core 2.5.33 jar à un dossier local. Par exemple, C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.

  2. Téléchargez l’outil de correction manuelle d’AEM Forms on JEE depuis Distribution logicielle.

  3. Décompressez l’archive manuelle de l’outil de correction. Par exemple, extrayez vers la fonction /Users/labuser/Desktop/archive-patcher-1.0.0 folder. Les fichiers suivants sont extraits :

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows
  1. Arrêtez toutes les instances de serveur et tous les localisateurs.

  2. Ouvrez la fenêtre du terminal et accédez au dossier contenant l’outil de traitement manuel des correctifs d’AEM Forms on JEE (fichiers extraits).

  3. Exécutez la commande suivante pour rechercher tous les fichiers comportant des bibliothèques struts2 plus anciennes. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms :

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    L’outil nécessite une connexion Internet, car il télécharge les dépendances au moment de l’exécution. Donc, avant d'exécuter l'outil, vérifiez que vous êtes connecté à Internet.
  4. Exécutez les commandes suivantes dans l’ordre indiqué pour le remplacement récursif statique. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms et de la variable struts2-core-2.5.33.jar fichier .

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar
    

    Les étapes ci-dessus corrigent tous les fichiers ear avec des bibliothèques struts2 plus anciennes.

  5. Annulez le déploiement de l’ancien fichier EAR et déployez le fichier EAR sur votre serveur d’applications, disponible dans le dossier d’exportation.

  6. Démarrez votre serveur AEM Forms.

Linux
  1. Arrêtez toutes les instances de serveur et tous les localisateurs.

  2. Ouvrez la fenêtre du terminal et accédez au dossier contenant l’outil de traitement manuel des correctifs d’AEM Forms on JEE (fichiers extraits).

  3. Exécutez la commande suivante pour rechercher tous les fichiers comportant des bibliothèques struts2 plus anciennes. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms :

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    L’outil nécessite une connexion Internet, car il télécharge les dépendances au moment de l’exécution. Donc, avant d'exécuter l'outil, vérifiez que vous êtes connecté à Internet.
  4. Exécutez les commandes suivantes dans l’ordre indiqué pour le remplacement récursif statique. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms et de la variable struts2-core-2.5.33.jar fichier .

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar
    

    Les étapes ci-dessus corrigent tous les fichiers ear avec des bibliothèques struts2 plus anciennes.

  5. Annulez le déploiement de l’ancien fichier EAR et déployez le fichier EAR sur votre serveur d’applications, disponible dans le dossier d’exportation.

  6. Démarrez votre serveur AEM Forms.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2