AEM 6.5.24.0 : Log4j 2.20.0 (alleen log4j-api) bevindingen van een kwetsbaarheidsscan en richtlijnen voor mitigatie
In dit artikel worden de gevolgen voor de beveiliging en de vereiste acties verduidelijkt voor omgevingen waarin alleen de Log4j 2.20.0 API-bundel aanwezig is in Adobe Experience Manager 6.5.24.0 .
Beschrijving description
Omgeving
Adobe Experience Manager (AEM) 6.5.24.0 (nieuwste Service Pack)
Probleem/symptomen
Een aftasten van de kwetsbaarheidsbeoordeling heeft de aanwezigheid van Apache Log4j versie 2.20.0 in het milieu van AEM gemarkeerd. De volgende voorwaarden worden in acht genomen:
- De bundel OSGi
org.apache.logging.log4j.apiversie 2.20.0 is aanwezig in de console van Felix (/system/console/bundles). - De
log4j-corebundel is niet aanwezig in het milieu. - De afhankelijkheid Log4j wordt geïntroduceerd door de interne OSGi-bundels van AEM, niet door de code van de douanetoepassing.
De scan rapporteert een kwetsbaarheid met een hoge ernst op basis van de gedetecteerde Log4j-versie en de gebruiker vraagt om meer informatie over:
- Of Log4j 2.20.0 (alleen API) wordt beïnvloed door bekende kwetsbaarheden die kunnen worden misbruikt in deze context.
- Of Adobe intern relevante CVE's heeft beperkt of gerepareerd in dit Service Pack.
- Aanbevelingen met betrekking tot de upgrade van Log4j naar 2.25.x of hoger.
- De ondersteunde benadering voor upgrades, indien vereist.
- Of dit probleem in toekomstige servicepacks of Cumulatieve Fix-pakketten wordt opgelost.
Er worden geen foutberichten of stacktraces gerapporteerd; de bezorgdheid is gebaseerd op de scanneruitvoer en de versiedetectie .
Resolutie resolution
-
herzie de aanwezige Bundels Log4j
- Controleer via
/system/console/bundlesof alleenorg.apache.logging.log4j.api(API) aanwezig is en oflog4j-coreniet aanwezig is in de runtime. - Zorg ervoor dat er geen aangepaste bundels of bundels van derden worden geïntroduceerd
log4j-core.
- Controleer via
-
Begrijp de Bevindingen van de Scanner
- De meeste vlag van kwetsbaarheidsscanners die op versiedetectie wordt gebaseerd, niet op daadwerkelijke exploiteerbaarheid. De Log4j API-bundel alleen biedt niet de kwetsbare codepaden die aan kritieke CVE's zijn gekoppeld (zoals CVE-2021-44228 en CVE-2021-45046).
- Raadpleeg het officiële beveiligingsadvies van Adobe voor Log4j in AEM: Adobe Log4j Adviserend van de Veiligheid
-
het Mengings en Beleid van het Reparatie van Adobe
- Adobe biedt beveiligingsoplossingen en -oplossingen via servicepacks, Cumulatieve oplossingen en hotfixes. Handmatige vervanging van door Adobe verscheepte logbibliotheken wordt niet aanbevolen of ondersteund.
- Voor AEM 6.5 blijft u op het nieuwste ondersteunde Service Pack staan om alle beveiligingsupdates te ontvangen.
- Voor deze specifieke bevinding is geen apart advies van de klant gepubliceerd, aangezien de aanwezigheid van de API-bundel alleen geen exploiteerbaar risico met zich meebrengt in AEM buiten de box.
-
de Aanbevelingen van de Verbetering
- U hoeft Log4j API niet afzonderlijk bij te werken in AEM. Adobe zal naar wens alle noodzakelijke bibliotheekupdates in toekomstige servicepacks of Cumulatieve Fix Packs verwerken.
- Vervang of upgrade de interne Adobe-bibliotheken niet handmatig, tenzij de Adobe-ondersteuning hiervoor expliciet instructies geeft.
-
Monitor voor Updates
- Ga verder om de Nota's van de Versie van AEM en Bulletins van de Veiligheid van Adobe voor toekomstige updates betreffende gebundelde bibliotheekversies te controleren.
Oorzaak
Kwetsbaarheidsscanners kunnen de aanwezigheid van Log4j API markeren op basis van versiedetectie, maar zonder log4j-core in de runtime zijn de bekende kritieke kwetsbaarheden niet misbruikbaar in standaard AEM 6.5.24.0 -implementaties.