Säkerhetsluckor i Struts 2 för Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms
Problem
Allvarliga säkerhetsluckor har rapporterats för Struts 2, ett populärt ramverk för webbapplikationer med öppen källkod för utveckling av Java EE-webbapplikationer. Följande säkerhetsluckor har analyserats:
- Experience Manager Forms Workbench (alla versioner)
- Experience Manager Forms on OSGi (alla versioner)
- Experience Manager Forms as a Cloud Service
Upplösning
I följande tabell visas upplösning för alla påverkade versioner:
Använd någon av följande metoder:
OBS! AEM Forms stöder för närvarande versionerna 6.5.13.0 till 6.5.19.0. Om du använder en äldre version rekommenderar vi att du uppgraderar till 6.5.13.0 eller senare. Anvisningar om hur du installerar AEM 6.5.13.0 eller senare finns i versionsinformationen.
Använd manuella begränsningssteg use-manual-mitigation-steps
Du kan använda de manuella begränsningsstegen för att lösa problemet på AEM 6.5 Form Server som kör Service Pack 13 till AEM 6.5 Form Server som kör Service Pack 18 (6.5.13.0 - 6.5.18.0):
-
Hämta strängkärnan 2.5.33 jar till en lokal mapp. Exempel: C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.
-
Ladda ned AEM Forms on JEE Manual Patching Tool från Software Distribution.
-
Zippa upp det manuella arkivet med korrigeringsverktyg. Extrahera till exempel till
/Users/labuser/Desktop/archive-patcher-1.0.0 folder. Följande filer extraheras:- archive-patcher-1.0.0.jar
- patch-archive.bat
- patch-archive.sh
-
Stäng alla serverinstanser och sökare.
-
Öppna terminalfönstret och navigera till den mapp som innehåller AEM Forms on JEE Manual Patching Tool (extraherade filer).
-
Kör följande kommando för att söka i alla filer med äldre struts2-bibliotek. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till din AEM Forms-server:
code language-none patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$note note NOTE Verktyget kräver Internetanslutning eftersom beroenden hämtas vid körning. Kontrollera därför att du är ansluten till Internet innan du kör verktyget. -
Kör följande kommandon i den angivna ordningen för rekursiv ersättning på plats. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till AEM Forms-servern och filen
struts2-core-2.5.33.jar.code language-none patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jarOvanstående steg korrigerar alla öronfiler med äldre struts2-bibliotek.
-
Avdistribuera den äldre EAR-filen och distribuera den patchade EAR-filen, som finns i exportmappen, till programservern.
-
Starta AEM Forms Server.
-
Stäng alla serverinstanser och sökare.
-
Öppna terminalfönstret och navigera till den mapp som innehåller AEM Forms on JEE Manual Patching Tool (extraherade filer).
-
Kör följande kommando för att söka i alla filer med äldre struts2-bibliotek. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till din AEM Forms-server:
code language-none ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$note note NOTE Verktyget kräver Internetanslutning eftersom beroenden hämtas vid körning. Kontrollera därför att du är ansluten till Internet innan du kör verktyget. -
Kör följande kommandon i den angivna ordningen för rekursiv ersättning på plats. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till AEM Forms-servern och filen
struts2-core-2.5.33.jar.code language-none ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jarOvanstående steg korrigerar alla öronfiler med äldre struts2-bibliotek.
-
Avdistribuera den äldre EAR-filen och distribuera den patchade EAR-filen, som finns i exportmappen, till programservern.
-
Starta AEM Forms Server.