Mitigazione delle vulnerabilità Struts 2 per Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Problema

Sono state segnalate vulnerabilità di sicurezza critiche per Struts 2, un framework di applicazioni web popolare e open-source per lo sviluppo di applicazioni web Java EE. Sono state analizzate le seguenti vulnerabilità:

Vulnerabilità
Che cosa è interessato?
Cosa non è interessato?
CVE-2023-50164
Experience Manager 6.5 Forms su JEE (tutte le versioni da 6.5 GA a 6.5.19.0)
  • Experience Manager Forms Workbench (tutte le versioni)
  • Experience Manager Forms su OSGi (tutte le versioni)
  • Experience Manager Forms as a Cloud Service

Risoluzione

La tabella seguente elenca la risoluzione per tutte le versioni interessate:

Versione
Versione corrente
Azione utente
Experience Manager 6.5 Forms su JEE
6.5.19.0
Installa il service pack più recente
Experience Manager 6.5 Forms su JEE
6.5.13.0 - 6.5.18.0

Utilizza uno dei seguenti metodi:

Experience Manager 6.5 Forms su JEE
6,5 - 6.5.12,0
Installa il service pack più recente

NOTA: AEM Forms supporta attualmente le versioni da 6.5.13.0 a 6.5.19.0. Se utilizzi una versione precedente, ti consigliamo di effettuare l’aggiornamento a 6.5.13.0 o a una versione successiva. Per istruzioni su come installare AEM 6.5.13.0 o versione successiva, consulta le note sulla versione.

Utilizzare i passaggi di mitigazione manuali use-manual-mitigation-steps

È possibile utilizzare i passaggi di mitigazione manuali per risolvere il problema sul server di moduli AEM 6.5 con Service Pack 13 al server di moduli AEM 6.5 con Service Pack 18 (6.5.13.0 - 6.5.18.0):

  1. Scarica struts-core 2.5.33 jar in una cartella locale. Ad esempio, C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.

  2. Scarica lo strumento di patch manuale AEM Forms su JEE da Distribuzione software.

  3. Decomprimi l’archivio dello strumento di applicazione di patch manuale. Ad esempio, estrarre in /Users/labuser/Desktop/archive-patcher-1.0.0 folder. Vengono estratti i seguenti file:

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows
  1. Arresta tutte le istanze e i localizzatori del server.

  2. Apri la finestra del terminale e passa alla cartella contenente lo strumento AEM Forms on JEE Manual Patching Tool (file estratti).

  3. Esegui il comando seguente per cercare tutti i file con librerie Struts2 precedenti. Prima di eseguire il comando, sostituisci il percorso nel comando con il percorso del server AEM Forms:

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    Lo strumento richiede la connettività Internet in quanto scarica le dipendenze in fase di esecuzione. Quindi, prima di eseguire lo strumento, assicurarsi di essere connessi a Internet.
  4. Eseguire i seguenti comandi nell'ordine elencato per la sostituzione diretta ricorsiva. Prima di eseguire il comando, sostituire il percorso nel comando con il percorso del server AEM Forms e del file struts2-core-2.5.33.jar.

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar
    

    I passaggi precedenti applicano la patch a tutti i file dell’orecchio con librerie struts2 precedenti.

  5. Annullare la distribuzione dell'EAR precedente e distribuire nel server applicazioni il file EAR con patch, disponibile nella cartella di esportazione.

  6. Avvia il server AEM Forms.

Linux
  1. Arresta tutte le istanze e i localizzatori del server.

  2. Apri la finestra del terminale e passa alla cartella contenente lo strumento AEM Forms on JEE Manual Patching Tool (file estratti).

  3. Esegui il comando seguente per cercare tutti i file con librerie Struts2 precedenti. Prima di eseguire il comando, sostituisci il percorso nel comando con il percorso del server AEM Forms:

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    Lo strumento richiede la connettività Internet in quanto scarica le dipendenze in fase di esecuzione. Quindi, prima di eseguire lo strumento, assicurarsi di essere connessi a Internet.
  4. Eseguire i seguenti comandi nell'ordine elencato per la sostituzione diretta ricorsiva. Prima di eseguire il comando, sostituire il percorso nel comando con il percorso del server AEM Forms e del file struts2-core-2.5.33.jar.

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar
    

    I passaggi precedenti applicano la patch a tutti i file dell’orecchio con librerie struts2 precedenti.

  5. Annullare la distribuzione dell'EAR precedente e distribuire nel server applicazioni il file EAR con patch, disponibile nella cartella di esportazione.

  6. Avvia il server AEM Forms.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2