Minska Log4j2-sårbarheter för Experience Manager Forms

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Gäller:
Experience Manager 6.5

Ämnen:
Adaptiva formulär

Skapat för:

Administratör

Problem

Allvarliga säkerhetsluckor har rapporterats för Apache Log4j2, ett populärt loggningsbibliotek för Java-baserade program. Följande säkerhetsluckor har analyserats:

Sårbarhet

Vad som påverkas

Vad påverkas inte?

Status

CVE-2021-44228

Experience Manager 6.5 Forms på JEE (alla versioner från 6.5 GA till 6.5.11)
Experience Manager 6.4 Forms på JEE (alla versioner från 6.4 GA till 6.4.8)
Experience Manager 6.3 Forms på JEE (alla versioner från 6.3 GA till 6.3.3)
Experience Manager 6.5 Forms Designer
Experience Manager 6.4 Forms Designer
Automatisk formulärkonverteringstjänst

Experience Manager Forms Workbench (alla versioner)
Experience Manager Forms on OSGi (alla versioner)

De här har åtgärdats. I avsnittet Upplösning finns information om korrigeringar och åtgärder för att begränsa användningen.

CVE-2021-45046

CVE-2021-45105

Ingen påverkan på Experience Manager Forms-releaser för färdiga loggningskonfigurationer. Om du har ytterligare loggningskonfigurationer bör du kontrollera dessa konfigurationer för att se om det finns några säkerhetsluckor.

NOTE

AEM 6.5.13.0 Forms och tidigare versioner innehåller både Log4j-bibliotek (1.x och 2.17.1). AEM Forms Log4j 1.x-biblioteken i AEM 6.5.13.0 Forms och tidigare versioner ingår inte i den rapporterade sårbarheten och anses heller inte vara sårbara i AEM Forms kodsökningar som utförs av Adobe. Alla Log4j 1.x-bibliotek tas dock bort i version 6.5.14. Anvisningar om hur du installerar AEM 6.5.14.0 eller en senare version finns i versionsinformation.

Upplösning

Du kan använda någon av följande metoder för att minska risken för denna sårbarhet:

Installera det senaste Service Pack-meddelandet
Använd manuella begränsningssteg

Installera den senaste Service Pack-versionen

CAUTION

Om du har implementerat en snabbkorrigering i Experience Manager Forms Service Pack 6.3.3.8 eller Experience Manager Forms Service Pack 6.4.8.4 ska du inte installera Service Pack med de säkerhetskorrigeringar som anges nedan. Om du installerar dessa Service Pack kan snabbkorrigeringen skrivas över. Adobe rekommenderar att du använder manuella begränsningssteg i ett sådant scenario.

Frigör

Version

Hämta länk/användaråtgärd

Experience Manager 6.5 Forms on JEE

AEMForms-6.5.0-0038 (log4jv2.16)

Hämta från Programvarudistribution.

Experience Manager 6.4 Forms i JEE

AEMForms-6.4.0-0027

Experience Manager 6.3 Forms on JEE

AEMForms-6.3.0-0047

Experience Manager 6.5 Forms Designer

AEM Forms Designer v650.019

Experience Manager 6.4 Forms Designer

AEM Forms Designer v640.012

Automatisk formulärkonverteringstjänst

Begränsningsstegen identifierades och tjänsten lagrades.

Det finns ingen användaråtgärd.

Använd manuella begränsningssteg

För att åtgärda problemet utför du följande steg för Experience Manager 6.5 Forms (log4j-core version 2.10 och senare), Experience Manager 6.4 Forms (log4j-core version tidigare än 2.10) och Experience Manager 6.3 Forms (log4j-core version tidigare än 2.10):

Stäng alla serverinstanser och sökare.

Ta bort org/apache/logging/log4j/core/lookup/JndiLookup.class från sårbara log4j-core-2.xx.jar som finns på följande platser:

Distribuerbart EAR:

code language-javascript
`<FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss\|weblogic\|websphere].ear`

GemFire eller Geode-positionerare:

code language-javascript
`<FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib`

Om du vill uppdatera distribuerbar EAR, beroende på operativsystemet, kan du använda någon av följande metoder för att ta bort JndiLookup.class från sårbarheten log4j-core-2.xx.jar:

(Linux med Oracle WebLogic eller Redhat JBoss): Kör följande kommando. Uppdatera informationen för version och programservern innan du kör dessa kommandon:

code language-javascript
`unzip adobe-livecycle-<weblogic\|jboss>.ear lib/log4j-core-<version>.jar`

code language-javascript
`zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup. class`

code language-javascript
`zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar`

(Linux med IBM WebSphere): Kör följande kommando. Uppdatera informationen för version och programservern innan du kör dessa kommandon:

code language-javascript
`unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar`

code language-javascript
`zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class`

(Microsoft Windows): Använd ett GUI-verktyg som 7-Zip för att ta bort klassfilen.

Upprepa steg 2 för varje programserverinstans (nod) och alla positionerare (om det finns fler än en).
När du har uppdaterat behållaren distribuerar du om den ändrade EAR-versionen och startar om alla lokaliseringsprocesser och serverinstanser.

NOTE

Ersätt originalkopian av log4j-core-2.xx jar med den uppdaterade kopian. Inga andra ändringar krävs.
När konfigurationshanteraren körs igen kan innehållet i <FORMS_INSTALLATION_DIRECTORY/configurationManager/export skrivas över. Uppdatera behållaren i <FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear för att undvika att göra om ovanstående ändring varje gång detta inträffar. Detta garanterar att adobe-livecycle-[jboss|weblogic|websphere].ear som skapats av konfigurationshanteraren redan har uppdaterat log4j-core-2.xx jar.
Manuella ändringar av driftsättningsbara artefakter kan skrivas över vid patchning/uppgradering. Om detta händer ska du tillämpa proceduren igen.

Referenser

https://logging.apache.org/log4j/2.x/security.html

Vem ska jag kontakta om jag har ytterligare frågor eller några problem med att utföra åtgärder för att minska riskerna?

Du kan kontakta Adobe Support eller skaffa en supportanmälan.

Vem ska jag kontakta om jag har ytterligare frågor eller problem med att utföra åtgärder för att begränsa?
Juridiska meddelanden | Integritetspolicy online

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2