DocumentazioneAEM 6.5Guida utente

Mitigazione delle vulnerabilità di Log4j2 per Experience Manager Forms

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Si applica a:
  • Experience Manager 6.5

Creato per:

  • Amministratore

Problema

Sono state segnalate vulnerabilità di sicurezza critiche per Apache Log4j2, una popolare libreria di registrazione per applicazioni basate su Java. Sono state analizzate le seguenti vulnerabilità:

Vulnerabilità
Cosa è interessato
Cosa non è interessato?
Stato
CVE-2021-44228
  • Experience Manager 6.5 Forms su JEE (tutte le versioni da 6.5 GA a 6.5.11)
  • Experience Manager 6.4 Forms su JEE (tutte le versioni da 6.4 GA a 6.4.8)
  • Experience Manager 6.3 Forms su JEE (tutte le versioni da 6.3 GA a 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Servizio di conversione automatica dei moduli
  • Experience Manager Forms Workbench (tutte le versioni)
  • Experience Manager Forms su OSGi (tutte le versioni)
Questi sono stati corretti. Consulta la sezione Risoluzione per le correzioni e i passaggi di mitigazione.
CVE-2021-45046
CVE-2021-45105
Nessun impatto su qualsiasi versione di Experience Manager Forms per le configurazioni di registrazione pronte all’uso. Se disponi di configurazioni di registrazione aggiuntive, controllale per individuare queste vulnerabilità.
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
AEM 6.5.13.0 Forms e versioni precedenti includono entrambe le librerie Log4j (1.x e 2.17.1). Le librerie Log4j 1.x di AEM Forms in AEM 6.5.13.0 Forms e versioni precedenti non fanno parte della vulnerabilità segnalata, né sono considerate vulnerabili nelle analisi del codice AEM Forms eseguite da Adobe. Tuttavia, tutte le librerie Log4j 1.x vengono rimosse nella versione 6.5.14. Per istruzioni su come installare AEM 6.5.14.0 o una versione successiva, consulta le note sulla versione.

Risoluzione

Per mitigare il rischio di questa vulnerabilità, puoi utilizzare uno dei seguenti metodi:

  • Installa il service pack più recente
  • Utilizzare i passaggi di mitigazione manuali

Installa il service pack più recente

CAUTION
Se è stato applicato un hotfix all'ambiente Experience Manager Forms Service Pack 6.3.3.8 o Experience Manager Forms Service Pack 6.4.8.4, non installare il service pack con le correzioni di vulnerabilità (elencate di seguito). L’installazione di questi service pack potrebbe sovrascrivere l’hotfix. Adobe consiglia di utilizzare passaggi di mitigazione manuali in uno scenario di questo tipo.
Versione
Versione
Collegamento di download/Azione utente
Experience Manager 6.5 Forms su JEE
AEMForms-6.5.0-0038 (log4jv2.16)
Scarica da Distribuzione software.
Experience Manager 6.4 Forms su JEE
AEMForms-6.4.0-0027
Experience Manager 6.3 Forms su JEE
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
Servizio di conversione automatica dei moduli
Sono stati identificati i passaggi di mitigazione e il servizio è stato corretto.
Nessuna azione utente.

Utilizzare i passaggi di mitigazione manuali

Per attenuare il problema, in Experience Manager 6.5 Forms (log4j-core versione 2.10 e successive), Experience Manager 6.4 Forms (log4j-core versione precedente alla versione 2.10) e Experience Manager 6.3 Forms (log4j-core versione precedente alla versione 2.10), esegui i seguenti passaggi:

  1. Arresta tutte le istanze e i localizzatori del server.

  2. Rimuovi org/apache/logging/log4j/core/lookup/JndiLookup.class dal log4j-core-2.xx.jar vulnerabile disponibile nei seguenti percorsi:

    • EAR distribuibile:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • Localizzatore GemFire o Geode:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    Per aggiornare l'EAR distribuibile, a seconda del sistema operativo in uso, è possibile utilizzare uno dei metodi seguenti per rimuovere JndiLookup.class dal log4j-core-2.xx.jar vulnerabile:

    • (Linux con Oracle WebLogic o Redhat JBoss): esegui il seguente comando. Aggiornare version e le informazioni sul server applicazioni prima di eseguire questi comandi:
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (Linux con IBM WebSphere): esegui il comando seguente. Aggiornare version e le informazioni sul server applicazioni prima di eseguire questi comandi:
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows): utilizzare uno strumento GUI come 7-Zip per rimuovere il file di classe.

  3. Ripeti il passaggio 2 per ogni istanza del server applicazioni (nodo) e per tutti i localizzatori (se più di uno).

  4. Dopo aver aggiornato il file jar, ridistribuisci l’EAR modificato e riavvia tutti i processi del localizzatore e le istanze del server.

NOTE
  • Sostituisci la copia originale del file jar log4j-core-2.xx con la copia aggiornata. Non sono richieste altre modifiche.
  • Quando il gestore della configurazione viene eseguito di nuovo, il contenuto di <FORMS_INSTALLATION_DIRECTORY/configurationManager/export può essere sovrascritto. Per evitare di ripetere la modifica precedente ogni volta che ciò accade, aggiorna il file jar in <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. In questo modo, adobe-livecycle-[jboss|weblogic|websphere].ear prodotto dal gestore della configurazione dispone già di log4j-core-2.xx jar aggiornato.
  • Le modifiche manuali agli artefatti distribuibili possono essere sovrascritte in caso di applicazione di patch o aggiornamento. In questo caso, riapplicare la procedura.

Riferimenti

https://logging.apache.org/log4j/2.x/security.html

Chi devo contattare se ho ulteriori domande o problemi nell'esecuzione dei passaggi di mitigazione?

È possibile contattare il Supporto Adobe o aprire un ticket di supporto.

A chi devo rivolgermi se ho ulteriori domande o problemi nell'esecuzione dei passaggi di mitigazione?
Note legali | Informativa sulla privacy online

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2