AEM 6.5.13.0 Forms 및 이전 릴리스에는 Log4j 라이브러리(1.x 및 2.17.1)가 모두 포함되어 있습니다. AEM 6.5.13.0 Forms 및 이전 릴리스의 AEM Forms Log4j 1.x 라이브러리는 Adobe에서 수행한 AEM Forms 코드 스캔에서 보고된 취약하거나 기록되지 않는 취약성의 일부가 아닙니다. 그러나 모든 Log4j 1.x 라이브러리는 6.5.14 릴리스에서 제거됩니다. AEM 6.5.14.0 또는 이후 릴리스를 설치하는 방법은 릴리스 노트를 참조하십시오.

해결 방법

다음 방법 중 하나를 사용하여 이 취약성의 위험을 줄일 수 있습니다.

최신 서비스 팩 설치
수동 완화 단계 사용

최신 서비스 팩 설치

CAUTION

Experience Manager Forms 서비스 팩 6.3.3.8 또는 Experience Manager Forms 서비스 팩 6.4.8.4 환경에 핫픽스를 적용한 경우 취약성 수정 사항(아래 나열됨)이 있는 서비스 팩을 설치하지 마십시오. 이러한 서비스 팩을 설치하면 핫픽스를 덮어쓸 수 있습니다. Adobe은 이러한 시나리오에서 수동 완화 단계 를 사용할 것을 권장합니다.

릴리스

버전

다운로드 링크/사용자 작업

JEE의 Experience Manager 6.5 Forms

AEMForms-6.5.0-0038 (log4jv2.16)

소프트웨어 배포에서 다운로드합니다.

JEE의 Experience Manager 6.4 Forms

AEMForms-6.4.0-0027

JEE의 Experience Manager 6.3 Forms

AEMForms-6.3.0-0047

Experience Manager 6.5 Forms Designer

AEM Forms Designer v650.019

Experience Manager 6.4 Forms Designer

AEM Forms Designer v640.012

자동화된 양식 변환 서비스

완화 단계가 확인되었고 서비스가 패치되었습니다.

사용자 작업이 없습니다.

수동 완화 단계 사용

문제를 완화하려면 Experience Manager 6.5 Forms(log4j-core 버전 2.10 이상), Experience Manager 6.4 Forms(log4j-core 버전 2.10 이전) 및 Experience Manager 6.3 Forms(log4j-core 버전 2.10 이전)의 경우 다음 단계를 수행하십시오.

모든 서버 인스턴스 및 로케이터를 종료합니다.

다음 위치에서 사용할 수 있는 취약한 log4j-core-2.xx.jar에서 org/apache/logging/log4j/core/lookup/JndiLookup.class을(를) 제거합니다.

배포 가능한 EAR:

code language-javascript
`<FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss\|weblogic\|websphere].ear`

GemFire 또는 Geode 로케이터:

code language-javascript
`<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib`

배포 가능한 EAR을 업데이트하려면 운영 체제에 따라 다음 방법 중 하나를 사용하여 취약한 log4j-core-2.xx.jar에서 JndiLookup.class을(를) 제거할 수 있습니다.

(Oracle WebLogic 또는 Redhat JBoss가 있는 Linux): 다음 명령을 실행합니다. 다음 명령을 실행하기 전에 version 및 응용 프로그램 서버 정보를 업데이트하십시오.

code language-javascript
`unzip adobe-livecycle-<weblogic\|jboss>.ear lib/log4j-core-<version>.jar`

code language-javascript
`zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup. class`

code language-javascript
`zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar`

(IBM WebSphere가 있는 Linux): 다음 명령을 실행합니다. 다음 명령을 실행하기 전에 version 및 응용 프로그램 서버 정보를 업데이트하십시오.

code language-javascript
`unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar`

code language-javascript
`zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class`

(Microsoft Windows): 7-Zip과 같은 GUI 도구를 사용하여 클래스 파일을 제거합니다.

각 애플리케이션 서버 인스턴스(노드) 및 모든 로케이터(둘 이상인 경우)에 대해 2단계를 반복합니다.
jar를 업데이트한 후 수정된 EAR을 다시 배포하고 모든 로케이터 프로세스와 서버 인스턴스를 다시 시작합니다.

NOTE

log4j-core-2.xx jar의 원본을 업데이트된 사본으로 바꿉니다. 다른 변경 사항은 필요하지 않습니다.
구성 관리자를 다시 실행하면 <FORMS_INSTALLATION_DIRECTORY/configurationManager/export의 내용을 덮어쓸 수 있습니다. 이러한 일이 발생할 때마다 위의 변경 내용을 다시 실행하지 않으려면 <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear에서 jar를 업데이트하십시오. 이렇게 하면 구성 관리자가 생성한 adobe-livecycle-[jboss|weblogic|websphere].ear에 이미 업데이트된 log4j-core-2.xx jar이(가) 있습니다.
배포 가능한 아티팩트에 대한 수동 수정은 패치/업그레이드 시 덮어쓸 수 있습니다. 이 경우 절차를 다시 적용합니다.

참조

https://logging.apache.org/log4j/2.x/security.html

추가 질문이 있거나 완화 단계를 수행하는 데 문제가 있는 경우 누구에게 문의해야 합니까?

Adobe 지원에 문의하거나 지원 티켓을 제출할 수 있습니다.

추가 질문이 있거나 완화 단계를 수행하는 데 문제가 있는 경우 누구에게 문의해야 합니까?
법적 고지 사항 | 온라인 개인정보 처리방침

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2