DocumentaçãoAEM 6.5Guia do usuário

Reduzindo vulnerabilidades do Struts 2 para Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Tópicos:

Criado para:

  • undefined

Problema

Vulnerabilidades críticas de segurança foram relatadas para o Struts 2, uma estrutura de aplicativo Web popular e de código aberto para o desenvolvimento de aplicativos Web Java EE. As seguintes vulnerabilidades foram analisadas:

Vulnerabilidade
O que foi impactado?
O que não é impactado?
CVE-2023-50164
Experience Manager 6.5 Forms no JEE (todas as versões de 6.5 GA para 6.5.19.0)
  • Experience Manager Forms Workbench (todas as versões)
  • Experience Manager Forms no OSGi (todas as versões)
  • Experience Manager Forms as a Cloud Service

Resolução

A tabela a seguir lista a resolução de todas as versões afetadas:

Versão
Versão atual
Ação do usuário
Experience Manager 6.5 Forms no JEE
6.5.19.0
Instalar o pacote de serviços mais recente
Experience Manager 6.5 Forms no JEE
6.5.13.0 - 6.5.18.0

Use um dos seguintes métodos:

Experience Manager 6.5 Forms no JEE
6.5 - 6.5.12.0
Instalar o pacote de serviços mais recente

OBSERVAÇÃO: atualmente, o AEM Forms oferece suporte às versões 6.5.13.0 a 6.5.19.0. Se você estiver usando uma versão mais antiga, recomendamos atualizar para a versão 6.5.13.0 ou posterior. Para obter instruções sobre como instalar o AEM versão 6.5.13.0 ou posterior, consulte notas de versão.

Usar etapas de mitigação manual use-manual-mitigation-steps

Você pode usar as etapas de mitigação manual para resolver o problema no Servidor de formulário AEM 6.5 que executa o Service Pack 13 para AEM 6.5 que executa o Service Pack 18 (6.5.13.0 - 6.5.18.0):

  1. Baixe o struts-core 2.5.33 jar para uma pasta local. Por exemplo, C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.

  2. Baixe a Ferramenta de Correção Manual do AEM Forms no JEE em Distribuição de Software.

  3. Descompacte o arquivo da ferramenta de correção manual. Por exemplo, extraia para /Users/labuser/Desktop/archive-patcher-1.0.0 folder. Os seguintes arquivos são extraídos:

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows

  1. Desative todas as instâncias e localizadores do servidor.

  2. Abra a janela do terminal e navegue até a pasta que contém a Ferramenta de correção manual AEM Forms on JEE (arquivos extraídos).

  3. Execute o seguinte comando para pesquisar todos os arquivos com bibliotecas struts2 mais antigas. Antes de executar o comando, substitua o caminho no comando pelo caminho do AEM Forms Server:

    code language-none 
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    note note
    NOTE
    A ferramenta requer conectividade com a Internet, pois baixa dependências no tempo de execução. Portanto, antes de executar a ferramenta, verifique se você está conectado à Internet.

  4. Execute os seguintes comandos na ordem listada para substituição recursiva no local. Antes de executar o comando, substitua o caminho no comando pelo caminho do AEM Forms Server e o arquivo struts2-core-2.5.33.jar.

    code language-none 
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar

    As etapas acima corrigem todos os arquivos ear com bibliotecas struts2 mais antigas.

  5. Desimplante o EAR mais antigo e implante o arquivo EAR corrigido, disponível na pasta de exportação, no servidor de aplicativos.

  6. Inicie o AEM Forms Server.

Linux

  1. Desative todas as instâncias e localizadores do servidor.

  2. Abra a janela do terminal e navegue até a pasta que contém a Ferramenta de correção manual AEM Forms on JEE (arquivos extraídos).

  3. Execute o seguinte comando para pesquisar todos os arquivos com bibliotecas struts2 mais antigas. Antes de executar o comando, substitua o caminho no comando pelo caminho do AEM Forms Server:

    code language-none 
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    note note
    NOTE
    A ferramenta requer conectividade com a Internet, pois baixa dependências no tempo de execução. Portanto, antes de executar a ferramenta, verifique se você está conectado à Internet.

  4. Execute os seguintes comandos na ordem listada para substituição recursiva no local. Antes de executar o comando, substitua o caminho no comando pelo caminho do AEM Forms Server e o arquivo struts2-core-2.5.33.jar.

    code language-none 
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar

    As etapas acima corrigem todos os arquivos ear com bibliotecas struts2 mais antigas.

  5. Desimplante o EAR mais antigo e implante o arquivo EAR corrigido, disponível na pasta de exportação, no servidor de aplicativos.

  6. Inicie o AEM Forms Server.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2