Atténuation des vulnérabilités de Struts 2 pour Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Problème

Des vulnérabilités de sécurité critiques ont été signalées pour Struts 2, un framework d’applications web populaire et open source pour le développement d’applications web Java EE. Les vulnérabilités suivantes ont été analysées :

Vulnérabilité
Qu’est-ce qui est impacté ?
Qu’est-ce qui n’est pas impacté ?
CVE-2023-50164
Experience Manager 6.5 Forms on JEE (toutes les versions de 6.5 GA à 6.5.19.0)
  • Workbench Experience Manager Forms (toutes les versions)
  • Experience Manager Forms sur OSGi (toutes les versions)
  • Experience Manager Forms as a Cloud Service

Résolution

Le tableau suivant répertorie la résolution pour toutes les versions impactées :

Version
Version actuelle
Action de l’utilisateur ou de l’utilisatrice
Experience Manager 6.5 Forms on JEE
6.5.19.0
Installer le dernier Pack de services
Experience Manager 6.5 Forms on JEE
6.5.13.0 - 6.5.18.0

Utilisez l’une des méthodes suivantes :

Experience Manager 6.5 Forms on JEE
6.5 - 6.5.12.0
Installer le dernier Pack de services

REMARQUE : AEM Forms prend actuellement en charge les versions 6.5.13.0 à 6.5.19.0. Si vous utilisez une version plus ancienne, nous vous recommandons d’effectuer une mise à niveau vers la version 6.5.13.0 ou une version ultérieure. Pour obtenir des instructions sur l’installation d’AEM version 6.5.13.0 ou ultérieure, voir les notes de mise à jour.

Utiliser les étapes d’atténuation manuelles use-manual-mitigation-steps

Vous pouvez utiliser les étapes d’atténuation manuelles pour résoudre le problème sur AEM 6.5 Form Server exécutant le Pack de services 13 jusqu’à AEM 6.5 Form Server exécutant le Pack de services 18 (6.5.13.0 - 6.5.18.0) :

  1. Téléchargez le fichier jar struts-core 2.5.33 dans un dossier local. Par exemple, C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.

  2. Téléchargez l’outil Manual Patching Tool d’AEM Forms on JEE depuis la Distribution logicielle.

  3. Décompressez l’archive de l’outil Manual Patching Tool. Par exemple, effectuez l’extraction vers /Users/labuser/Desktop/archive-patcher-1.0.0 folder. Les fichiers suivants sont extraits :

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows
  1. Arrêtez toutes les instances de serveur et tous les localisateurs.

  2. Ouvrez la fenêtre du terminal et accédez au dossier contenant l’outil Manual Patching Tool d’AEM Forms on JEE (fichiers extraits).

  3. Exécutez la commande suivante pour rechercher tous les fichiers comportant des bibliothèques struts2 plus anciennes. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms :

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    L’outil nécessite une connexion Internet, car il télécharge les dépendances au moment de l’exécution. Donc, avant d’exécuter l’outil, vérifiez votre connexion à Internet.
  4. Exécutez les commandes suivantes dans l’ordre indiqué pour le remplacement récursif statique. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms et du fichier struts2-core-2.5.33.jar.

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar
    

    Les étapes ci-dessus corrigent tous les fichiers EAR avec des bibliothèques struts2 plus anciennes.

  5. Annulez le déploiement de l’ancien fichier EAR et déployez le fichier EAR corrigé sur votre serveur d’applications, disponible dans le dossier d’exportation.

  6. Démarrez votre serveur AEM Forms.

Linux
  1. Arrêtez toutes les instances de serveur et tous les localisateurs.

  2. Ouvrez la fenêtre du terminal et accédez au dossier contenant l’outil Manual Patching Tool d’AEM Forms on JEE (fichiers extraits).

  3. Exécutez la commande suivante pour rechercher tous les fichiers comportant des bibliothèques struts2 plus anciennes. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms :

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    L’outil nécessite une connexion Internet, car il télécharge les dépendances au moment de l’exécution. Donc, avant d’exécuter l’outil, vérifiez votre connexion à Internet.
  4. Exécutez les commandes suivantes dans l’ordre indiqué pour le remplacement récursif statique. Avant d’exécuter la commande, remplacez le chemin d’accès de la commande par le chemin d’accès de votre serveur AEM Forms et du fichier struts2-core-2.5.33.jar.

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar
    

    Les étapes ci-dessus corrigent tous les fichiers EAR avec des bibliothèques struts2 plus anciennes.

  5. Annulez le déploiement de l’ancien fichier EAR et déployez le fichier EAR corrigé sur votre serveur d’applications, disponible dans le dossier d’exportation.

  6. Démarrez votre serveur AEM Forms.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2