DocumentatieAEM 6.5Handboek

Oplossingen oplossen 2 kwetsbaarheden voor Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Last update: Sun Jul 14 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Gemaakt voor:

  • Beheerder

Probleem

Er zijn kritieke beveiligingskwetsbaarheden gemeld voor Struts 2, een populair en open-source webtoepassingsframework voor het ontwikkelen van Java EE-webtoepassingen. De volgende kwetsbaarheden zijn geanalyseerd:

Kwetsbaarheid
Wat heeft dat effect?
Wat heeft dit niet tot gevolg?
CVE-2023-50164
Experience Manager 6.5 Forms op JEE (alle versies van 6.5 GA naar 6.5.19.0)
  • Experience Manager Forms Workbench (alle versies)
  • Experience Manager Forms op OSGi (alle versies)
  • Experience Manager Forms as a Cloud Service

Resolutie

De volgende tabel bevat een resolutie voor alle betrokken versies:

Geen
Huidige versie
Handeling door gebruiker
Experience Manager 6.5 Forms in juni
6.5.19,0
installeer het recentste de dienstpak
Experience Manager 6.5 Forms in juni
6.5.13.0 - 6.5.18.0

Gebruik een van de volgende methoden:

Experience Manager 6.5 Forms in juni
6.5 - 6.5.12.0
installeer het recentste de dienstpak

NOTA: AEM Forms steunt momenteel versies 6.5.13.0 door 6.5.19.0. Als u een oudere versie gebruikt, raden we u aan een upgrade naar 6.5.13.0 of een latere versie uit te voeren. Zie de opmerkingen bij de release voor instructies voor het installeren van AEM 6.5.13.0 of hoger.

Handmatige onderdrukkingsstappen gebruiken use-manual-mitigation-steps

U kunt de handmatige matigingsstappen gebruiken om de kwestie op AEM 6.5 Server die Service Pack 13 in werking stellen aan AEM 6.5 Server van de Vorm die Service Pack 18 (6.5.13.0 - 6.5.18.0 in werking stellen) op te lossen:

  1. Download struts-core 2.5.33 jaraan een lokale omslag. Bijvoorbeeld C:\Users\labuser\Desktop\struts2-core-2.5.3.jar.

  2. Download AEM Forms op het Handmatig het Patching Hulpmiddel van JEE van Distributie van de Software.

  3. Pak het archief van het handmatige patchgereedschap uit. Extraheer bijvoorbeeld naar de map /Users/labuser/Desktop/archive-patcher-1.0.0 folder . De volgende bestanden worden geëxtraheerd:

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Vensters

  1. Sluit alle serverinstanties en locators af.

  2. Open het terminalvenster en navigeer naar de map met het AEM Forms-gereedschap Handmatig repareren (geëxtraheerde bestanden).

  3. Voer de volgende opdracht uit om alle bestanden te zoeken met oudere struts2-bibliotheken. Voordat u de opdracht uitvoert, vervangt u het pad in de opdracht door het pad van de AEM Forms-server:

    code language-none 
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    note note
    NOTE
    Het hulpprogramma vereist internetverbinding omdat afhankelijkheden tijdens runtime worden gedownload. Zorg er dus voor dat u verbinding hebt met internet voordat u het hulpprogramma uitvoert.

  4. Voer de volgende opdrachten in de vermelde volgorde uit voor recursieve vervanging op locatie. Voordat u de opdracht uitvoert, vervangt u het pad in de opdracht door het pad van de AEM Forms-server en het bestand struts2-core-2.5.33.jar .

    code language-none 
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar

    Met de bovenstaande stappen worden alle oorbestanden gerepareerd met oudere struts2-bibliotheken.

  5. Verwijder de implementatie van het oudere EAR en implementeer het gepatcheerde EAR-bestand, dat beschikbaar is in de exportmap, op uw toepassingsserver.

  6. Start uw AEM Forms-server.

Linux

  1. Sluit alle serverinstanties en locators af.

  2. Open het terminalvenster en navigeer naar de map met het AEM Forms-gereedschap Handmatig repareren (geëxtraheerde bestanden).

  3. Voer de volgende opdracht uit om alle bestanden te zoeken met oudere struts2-bibliotheken. Voordat u de opdracht uitvoert, vervangt u het pad in de opdracht door het pad van de AEM Forms-server:

    code language-none 
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    note note
    NOTE
    Het hulpprogramma vereist internetverbinding omdat afhankelijkheden tijdens runtime worden gedownload. Zorg er dus voor dat u verbinding hebt met internet voordat u het hulpprogramma uitvoert.

  4. Voer de volgende opdrachten in de vermelde volgorde uit voor recursieve vervanging op locatie. Voordat u de opdracht uitvoert, vervangt u het pad in de opdracht door het pad van de AEM Forms-server en het bestand struts2-core-2.5.33.jar .

    code language-none 
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar

    Met de bovenstaande stappen worden alle oorbestanden gerepareerd met oudere struts2-bibliotheken.

  5. Verwijder de implementatie van het oudere EAR en implementeer het gepatcheerde EAR-bestand, dat beschikbaar is in de exportmap, op uw toepassingsserver.

  6. Start uw AEM Forms-server.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2