DocumentaçãoAEM 6.5Guia do usuário

Reduzindo vulnerabilidades do Log4j2 para o Experience Manager Forms

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Aplica-se a:
  • Experience Manager 6.5

Criado para:

  • Administrador

Problema

Vulnerabilidades críticas de segurança foram relatadas para o Apache Log4j2, uma biblioteca de logon popular para aplicativos baseados em Java. As seguintes vulnerabilidades foram analisadas:

Vulnerabilidade
O que foi impactado
O que não é impactado?
Status
CVE-2021-44228
  • Experience Manager 6.5 Forms no JEE (todas as versões de 6.5 GA para 6.5.11)
  • Experience Manager 6.4 Forms no JEE (todas as versões de 6.4 GA para 6.4.8)
  • Experience Manager 6.3 Forms no JEE (todas as versões de 6.3 GA para 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Serviço de conversão automática de formulários
  • Experience Manager Forms Workbench (todas as versões)
  • Experience Manager Forms no OSGi (todas as versões)
Elas foram corrigidas. Consulte a seção Resolução para obter correções e etapas de atenuação.
CVE-2021-45046
CVE-2021-45105
Nenhum impacto em qualquer versão do Experience Manager Forms nas configurações de registro predefinidas. Se você tiver configurações de logon adicionais, verifique essas configurações em busca dessas vulnerabilidades.
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
O AEM 6.5.13.0 Forms e versões anteriores incluem as bibliotecas Log4j (1.x e 2.17.1). As bibliotecas AEM Forms Log4j 1.x no AEM 6.5.13.0 Forms e versões anteriores não fazem parte da vulnerabilidade relatada, nem são consideradas vulneráveis em verificações de código do AEM Forms executadas pelo Adobe. No entanto, todas as bibliotecas do Log4j 1.x são removidas na versão 6.5.14. Para obter instruções sobre como instalar o AEM 6.5.14.0 ou uma versão posterior, consulte as notas de versão.

Resolução

Você pode usar um dos seguintes métodos para reduzir o risco dessa vulnerabilidade:

  • Instalar o pacote de serviços mais recente
  • Usar etapas de mitigação manual

Instalar o pacote de serviços mais recente

CAUTION
Se você tiver aplicado um hotfix no ambiente Experience Manager Forms Service Pack 6.3.3.8 ou Experience Manager Forms Service Pack 6.4.8.4, não instale o service pack com as correções de vulnerabilidades (listadas abaixo). A instalação desses pacotes de serviços pode substituir o hotfix. A Adobe recomenda usar etapas de mitigação manual em tal cenário.
Versão
Versão
Link de download/ação do usuário
Experience Manager 6.5 Forms no JEE
AEMForms-6.5.0-0038 (log4jv2.16)
Baixar de Distribuição de Software.
Experience Manager 6.4 Forms no JEE
AEMForms-6.4.0-0027
Experience Manager 6.3 Forms no JEE
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
Serviço de conversão automática de formulários
As etapas de mitigação foram identificadas e o serviço foi corrigido.
Não há nenhuma ação do usuário.

Usar etapas de mitigação manual

Para mitigar o problema, para o Experience Manager 6.5 Forms (log4j-core versão 2.10 e posterior), Experience Manager 6.4 Forms (log4j-core versão anterior à 2.10) e Experience Manager 6.3 Forms (log4j-core versão anterior à 2.10), execute as seguintes etapas:

  1. Desative todas as instâncias e localizadores do servidor.

  2. Remover org/apache/logging/log4j/core/lookup/JndiLookup.class do log4j-core-2.xx.jar vulnerável disponível nos seguintes locais:

    • EAR implantável:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • Localizador de GemFire ou Geode:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    Para atualizar o EAR Implantável, dependendo do sistema operacional, você pode usar um dos métodos a seguir para remover o JndiLookup.class do log4j-core-2.xx.jar vulnerável:

    • (Linux com Oracle WebLogic ou Redhat JBoss): execute o seguinte comando. Atualize o version e as informações do servidor de aplicativos antes de executar estes comandos:
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (Linux com IBM WebSphere): execute o seguinte comando. Atualize o version e as informações do servidor de aplicativos antes de executar estes comandos:
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows): Use uma ferramenta de GUI como 7-Zip para remover o arquivo de classe.

  3. Repita a etapa 2 para cada instância (nó) do servidor de aplicativos e todos os localizadores (se houver mais de um).

  4. Depois de atualizar o jar, reimplante o EAR modificado e reinicie todos os processos do localizador e instâncias do servidor.

NOTE
  • Substitua a cópia original do jar log4j-core-2.xx pela cópia atualizada. Nenhuma outra alteração é necessária.
  • Quando o gerenciador de configurações for executado novamente, o conteúdo de <FORMS_INSTALLATION_DIRECTORY/configurationManager/export poderá ser substituído. Para evitar refazer a alteração acima toda vez que isso ocorrer, atualize o jar em <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear. Isso garante que o adobe-livecycle-[jboss|weblogic|websphere].ear produzido pelo gerenciador de configurações já tenha o log4j-core-2.xx jar atualizado.
  • As modificações manuais nos artefatos implantáveis podem ser substituídas na correção/atualização. Se isso acontecer, reaplique o procedimento.

Referências

https://logging.apache.org/log4j/2.x/security.html

Com quem devo entrar em contato se tiver dúvidas adicionais ou problemas ao executar as etapas de mitigação?

Você pode contatar o Suporte da Adobe ou criar um tíquete de suporte.

Com quem devo entrar em contato se tiver dúvidas adicionais ou problemas ao executar etapas de mitigação?
Avisos legais | Política de Privacidade Online

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2