Mitigazione delle vulnerabilità Struts 2 per Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms
Problema
Sono state segnalate vulnerabilità di sicurezza critiche per Struts 2, un framework di applicazioni web popolare e open-source per lo sviluppo di applicazioni web Java EE. Sono state analizzate le seguenti vulnerabilità:
- Experience Manager Forms Workbench (tutte le versioni)
- Experience Manager Forms su OSGi (tutte le versioni)
- Experience Manager Forms as a Cloud Service
Risoluzione
La tabella seguente elenca la risoluzione per tutte le versioni interessate:
Utilizza uno dei seguenti metodi:
NOTA: AEM Forms supporta attualmente le versioni da 6.5.13.0 a 6.5.19.0. Se utilizzi una versione precedente, ti consigliamo di effettuare l’aggiornamento a 6.5.13.0 o a una versione successiva. Per istruzioni su come installare AEM 6.5.13.0 o versione successiva, consulta le note sulla versione.
Utilizzare i passaggi di mitigazione manuali use-manual-mitigation-steps
È possibile utilizzare i passaggi di mitigazione manuali per risolvere il problema sul server di moduli AEM 6.5 con Service Pack 13 al server di moduli AEM 6.5 con Service Pack 18 (6.5.13.0 - 6.5.18.0):
-
Scarica struts-core 2.5.33 jar in una cartella locale. Ad esempio, C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.
-
Scarica lo strumento di patch manuale AEM Forms su JEE da Distribuzione software.
-
Decomprimi l’archivio dello strumento di applicazione di patch manuale. Ad esempio, estrarre in
/Users/labuser/Desktop/archive-patcher-1.0.0 folder
. Vengono estratti i seguenti file:- archive-patcher-1.0.0.jar
- patch-archive.bat
- patch-archive.sh
-
Arresta tutte le istanze e i localizzatori del server.
-
Apri la finestra del terminale e passa alla cartella contenente lo strumento AEM Forms on JEE Manual Patching Tool (file estratti).
-
Esegui il comando seguente per cercare tutti i file con librerie Struts2 precedenti. Prima di eseguire il comando, sostituisci il percorso nel comando con il percorso del server AEM Forms:
code language-none patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
note note NOTE Lo strumento richiede la connettività Internet in quanto scarica le dipendenze in fase di esecuzione. Quindi, prima di eseguire lo strumento, assicurarsi di essere connessi a Internet. -
Eseguire i seguenti comandi nell'ordine elencato per la sostituzione diretta ricorsiva. Prima di eseguire il comando, sostituire il percorso nel comando con il percorso del server AEM Forms e del file
struts2-core-2.5.33.jar
.code language-none patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar
I passaggi precedenti applicano la patch a tutti i file dell’orecchio con librerie struts2 precedenti.
-
Annullare la distribuzione dell'EAR precedente e distribuire nel server applicazioni il file EAR con patch, disponibile nella cartella di esportazione.
-
Avvia il server AEM Forms.
-
Arresta tutte le istanze e i localizzatori del server.
-
Apri la finestra del terminale e passa alla cartella contenente lo strumento AEM Forms on JEE Manual Patching Tool (file estratti).
-
Esegui il comando seguente per cercare tutti i file con librerie Struts2 precedenti. Prima di eseguire il comando, sostituisci il percorso nel comando con il percorso del server AEM Forms:
code language-none ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
note note NOTE Lo strumento richiede la connettività Internet in quanto scarica le dipendenze in fase di esecuzione. Quindi, prima di eseguire lo strumento, assicurarsi di essere connessi a Internet. -
Eseguire i seguenti comandi nell'ordine elencato per la sostituzione diretta ricorsiva. Prima di eseguire il comando, sostituire il percorso nel comando con il percorso del server AEM Forms e del file
struts2-core-2.5.33.jar
.code language-none ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar
I passaggi precedenti applicano la patch a tutti i file dell’orecchio con librerie struts2 precedenti.
-
Annullare la distribuzione dell'EAR precedente e distribuire nel server applicazioni il file EAR con patch, disponibile nella cartella di esportazione.
-
Avvia il server AEM Forms.