AEM 6.5.13.0 Forms 以前のリリースには、両方の Log4j ライブラリ（1.x と 2.17.1）が含まれています。AEM 6.5.13.0 Forms およびそれ以前のリリースの AEM Forms Log4j 1.x ライブラリは、報告された脆弱性の一部ではなく、アドビが実行した AEM Forms コードスキャンでも脆弱性として記載されていません。ただし、6.5.14 リリースでは、すべての Log4j 1.x ライブラリが削除されます。AEM 6.5.14.0 以降のリリースのインストール手順については、リリースノートを参照してください。

解決策

次のいずれかの方法を使用して、この脆弱性のリスクを軽減できます。

最新のサービスパックのインストール
手動の軽減手順の使用

最新のサービスパックのインストール

CAUTION

Experience Manager Forms サービスパック 6.3.3.8 または Experience Manager Forms サービスパック 6.4.8.4 環境にホットフィックスを適用している場合は、脆弱性のホットフィックス（以下に示す）を含むサービスパックをインストールしないでください。これらのサービスパックをインストールすると、ホットフィックスが上書きされる場合があります。アドビでは、このようなシナリオでは 手動の軽減手順 を使用することをお勧めします。

リリース

バージョン

ダウンロードリンク／ユーザーアクション

Experience Manager 6.5 Forms on JEE

AEMForms-6.5.0-0038（log4jv2.16）

ソフトウェア配布からダウンロードします。

Experience Manager 6.4 Forms on JEE

AEMForms-6.4.0-0027

Experience Manager 6.3 Forms on JEE

AEMForms-6.3.0-0047

Experience Manager 6.5 Forms Designer

AEM Forms Designer v650.019

Experience Manager 6.4 Forms Designer

AEM Forms Designer v640.012

自動フォーム変換サービス

軽減手順が特定され、サービスにパッチが適用されました。

ユーザーアクションはありません。

手動の軽減手順の使用

問題を軽減するには、Experience Manager 6.5 Forms（log4j-core バージョン 2.10 以降）、Experience Manager 6.4 Forms（log4j-core バージョン 2.10 以前）、Experience Manager 6.3 Forms（log4j-core バージョン 2.10 以前）で次の手順を実行します。

すべてのサーバーインスタンスとロケーターをシャットダウンします。

次の場所にある脆弱な log4j-core-2.xx.jar から org/apache/logging/log4j/core/lookup/JndiLookup.class を削除します。

デプロイ可能な EAR：

code language-javascript
`<FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss\|weblogic\|websphere].ear`

GemFire または Geode ロケーター：

code language-javascript
`<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib`

デプロイ可能な EAR を更新するには、オペレーティングシステムに応じて、次のいずれかの方法を使用して、脆弱な log4j-core-2.xx.jar から JndiLookup.class を削除します。

（Oracle WebLogic または Redhat JBoss を使用している Linux）：次のコマンドを実行します。次のコマンドを実行する前に、version およびアプリケーションサーバーの情報を更新します。

code language-javascript
`unzip adobe-livecycle-<weblogic\|jboss>.ear lib/log4j-core-<version>.jar`

code language-javascript
`zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup. class`

code language-javascript
`zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar`

（IBM WebSphere を使用している Linux）：次のコマンドを実行します。次のコマンドを実行する前に、version およびアプリケーションサーバーの情報を更新します。

code language-javascript
`unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar`

code language-javascript
`zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class`

（Microsoft Windows）: 7-Zip などの GUI ツールを使用して、クラスファイルを削除します。

各アプリケーションサーバーインスタンス（ノード）とすべてのロケーター（複数の場合）について手順 2 を繰り返します。
jar を更新した後、変更した EAR を再デプロイし、すべてのロケータープロセスとサーバーインスタンスを再起動します。

NOTE

log4j-core-2.xx jar の元のコピーを更新されたコピーに置き換えます。その他の変更は必要ありません。
Configuration Manager を再度実行すると、<FORMS_INSTALLATION_DIRECTORY/configurationManager/export の内容が上書きされる場合があります。これが発生するたびに上記の変更が実施されるのを回避するには、<FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear で jar を更新します。これにより、Configuration Manager で生成された adobe-livecycle-[jboss|weblogic|websphere].ear に、更新された log4j-core-2.xx jar が既に含まれるようになります。
デプロイ可能なアーティファクトに対する手動の変更は、パッチ適用やアップグレード時に上書きされる場合があります。この場合は、手順を再適用します。

参照

https://logging.apache.org/log4j/2.x/security.html

追加の質問がある場合や、軽減手順を実行する際に問題がある場合は、誰に連絡すればよいですか？

アドビサポートに連絡するか、またはサポートチケットを発行してください。

追加の質問がある場合や、軽減手順を実行する際に問題がある場合は、誰に連絡すればよいですか？
法律上の注意 | オンラインプライバシーポリシー

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2