DocumentatieAEM 6.5Handboek

Logboek4j2-kwetsbaarheden voor Experience Manager Forms verminderen

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Van toepassing op:
  • Experience Manager 6.5

Gemaakt voor:

  • Beheerder

Probleem

Er zijn kritieke beveiligingskwetsbaarheden gemeld voor Apache Log4j2, een populaire logboekbibliotheek voor Java-toepassingen. De volgende kwetsbaarheden zijn geanalyseerd:

Kwetsbaarheid
Wat heeft dit effect?
Wat heeft dit niet tot gevolg?
Status
CVE-2021-44228
  • Experience Manager 6.5 Forms op JEE (alle versies van 6.5 GA naar 6.5.11)
  • Experience Manager 6.4 Forms op JEE (alle versies van 6.4 GA naar 6.4.8)
  • Experience Manager 6.3 Forms op JEE (alle versies van 6.3 GA naar 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Automated Forms Conversion Service
  • Experience Manager Forms Workbench (alle versies)
  • Experience Manager Forms op OSGi (alle versies)
Deze zijn opgelost. Zie de sectie van de Resolutie voor moeilijke situaties en matigingsstappen.
CVE-2021-45046
CVE-2021-45105
Geen invloed op een Experience Manager Forms-release voor configuraties die zich buiten de box aanmelden. Als u om het even welke extra registrerenconfiguraties hebt, controleer deze configuraties voor deze kwetsbaarheid.
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
AEM 6.5.13.0 Forms en eerdere versies bevatten zowel Log4j-bibliotheken (1.x en 2.17.1). De AEM Forms Log4j 1.x-bibliotheken in AEM 6.5.13.0 Forms en eerdere releases maken geen deel uit van de geïdentificeerde kwetsbaarheid en worden ook niet als kwetsbaar beschouwd in AEM Forms-codescans die door Adobe worden uitgevoerd. Alle Log4j 1.x-bibliotheek wordt echter verwijderd uit de release 6.5.14. Voor instructies om AEM 6.5.14.0 of een recentere versie te installeren, zie ​ versienota's ​.

Resolutie

U kunt een van de volgende methoden gebruiken om het risico van deze kwetsbaarheid te beperken:

  • Installeer het nieuwste servicepack
  • Handmatige onderdrukkingsstappen gebruiken

installeer het recentste de dienstpak

CAUTION
Als u een hotfix hebt toegepast op de Experience Manager Forms Service Pack 6.3.3.8 - of Experience Manager Forms Service Pack 6.4.8.4 -omgeving, installeert u het servicepakket niet met de oplossingen voor kwetsbaarheden (zie hieronder). Als u deze servicepacks installeert, wordt de hotfix mogelijk overschreven. Adobe adviseert het gebruiken van handmatige matigingsstappen in zulk een scenario.
Geen
Versie
Koppeling/gebruikershandeling downloaden
Experience Manager 6.5 Forms in juni
AEMForms-6.5.0-0038 (log4jv2.16)
De download van Distributie van de Software.
Experience Manager 6.4 Forms in juni
AEMForms-6.4.0-0027
Experience Manager 6.3 Forms in juni
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
Automated Forms Conversion Service
De matigingsstappen werden geïdentificeerd en de dienst werd gepatcheerd.
Er is geen actie van de gebruiker.

Handmatige onderdrukkingsstappen gebruiken

Voer de volgende stappen uit om het probleem te verhelpen, voor Experience Manager 6.5 Forms (log4j-core versie 2.10 en hoger), Experience Manager 6.4 Forms (log4j-core versie eerder dan 2.10) en Experience Manager 6.3 Forms (log4j-core versie ouder dan 2.10):

  1. Sluit alle serverinstanties en locators af.

  2. Verwijder org/apache/logging/log4j/core/lookup/JndiLookup.class uit de kwetsbaarheden log4j-core-2.xx.jar die beschikbaar zijn op de volgende locaties:

    • Inzetbaar EAR:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • GemFire of de locator van Geode:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    Als u implementeerbare EAR wilt bijwerken, afhankelijk van uw besturingssysteem, kunt u een van de volgende methoden gebruiken om de JndiLookup.class uit kwetsbare personen te verwijderen log4j-core-2.xx.jar :

    • (Linux met Oracle WebLogic of Redhat JBoss): voer de volgende opdracht uit. Werk de gegevens van de version - en toepassingsserver bij voordat u deze opdrachten uitvoert:
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (Linux met IBM WebSphere): voer de volgende opdracht uit. Werk de gegevens van de version - en toepassingsserver bij voordat u deze opdrachten uitvoert:
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows): Gebruik een hulpmiddel GUI zoals ​ 7-Zip ​ om het klassendossier te verwijderen.

  3. Herhaal stap 2 voor elke instantie van de toepassingsserver (knoop) en alle locators (als meer dan één).

  4. Na het bijwerken van de pot, herstelt het gewijzigde EAR en begint alle locator processen en serverinstanties opnieuw.

NOTE
  • Vervang de originele kopie van de log4j-core-2.xx-jar door de bijgewerkte kopie. Andere wijzigingen zijn niet vereist.
  • Wanneer configuratiebeheer opnieuw wordt uitgevoerd, kan de inhoud van <FORMS_INSTALLATION_DIRECTORY/configurationManager/export worden overschreven. Als u wilt voorkomen dat de bovenstaande wijziging telkens opnieuw wordt uitgevoerd, werkt u de jar in <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear bij. Dit zorgt ervoor dat de adobe-livecycle-[jboss|weblogic|websphere].ear die door configuratiemanager wordt geproduceerd reeds bijgewerkte log4j-core-2.xx jar heeft.
  • Handmatige wijzigingen in implementeerbare artefacten kunnen worden overschreven bij patches/upgrades. Als dit gebeurt, past u de procedure opnieuw toe.

Verwijzingen

​ https://logging.apache.org/log4j/2.x/security.html

wie zou ik moeten contacteren als ik extra vragen of om het even welke kwesties in het uitvoeren van matigingsstappen heb?

U kunt ​ Steun van Adobe ​ contacteren of a ​ steunkaartje ​ opheffen.

wie zou ik moeten contacteren als ik extra vragen of om het even welke kwesties in het uitvoeren van matigingsstappen heb?
​ Juridische Mededelingen ​ | ​ Online Beleid van de Privacy ​

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2