Säkerhetsluckor i Struts 2 för Experience Manager Forms mitigatin-struts2-rce-vulnerabilities-for-aem-forms

Problem

Allvarliga säkerhetsluckor har rapporterats för Struts 2, ett populärt ramverk för webbapplikationer med öppen källkod för utveckling av Java EE-webbapplikationer. Följande säkerhetsluckor har analyserats:

Sårbarhet
Vad har påverkat?
Vad påverkas inte?
CVE-2023-50164
Experience Manager 6.5 Forms på JEE (alla versioner från 6.5 GA till 6.5.19.0)
  • Experience Manager Forms Workbench (alla versioner)
  • Experience Manager Forms on OSGi (alla versioner)
  • Experience Manager Forms as a Cloud Service

Upplösning

I följande tabell visas upplösning för alla påverkade versioner:

Frigör
Aktuell version
Användaråtgärd
Experience Manager 6.5 Forms i JEE
6.5.19.0
Installera den senaste Service Pack-versionen
Experience Manager 6.5 Forms i JEE
6.5.13.0 - 6.5.18.0

Använd någon av följande metoder:

Experience Manager 6.5 Forms i JEE
6.5-6.5.12.0
Installera den senaste Service Pack-versionen

OBS! AEM Forms stöder för närvarande versionerna 6.5.13.0 till 6.5.19.0. Om du använder en äldre version rekommenderar vi att du uppgraderar till 6.5.13.0 eller senare. Anvisningar om hur du installerar AEM 6.5.13.0 eller senare finns i versionsinformationen.

Använd manuella begränsningssteg use-manual-mitigation-steps

Du kan använda de manuella begränsningsstegen för att lösa problemet på AEM 6.5 Form Server som kör Service Pack 13 till AEM 6.5 Form Server som kör Service Pack 18 (6.5.13.0 - 6.5.18.0):

  1. Hämta strängkärnan 2.5.33 jar till en lokal mapp. Exempel: C:\Users\labuser\Desktop\struts2-core-2.5.33.jar.

  2. Ladda ned AEM Forms on JEE Manual Patching Tool från Software Distribution.

  3. Zippa upp det manuella arkivet med korrigeringsverktyg. Extrahera till exempel till /Users/labuser/Desktop/archive-patcher-1.0.0 folder. Följande filer extraheras:

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows
  1. Stäng alla serverinstanser och sökare.

  2. Öppna terminalfönstret och navigera till den mapp som innehåller AEM Forms on JEE Manual Patching Tool (extraherade filer).

  3. Kör följande kommando för att söka i alla filer med äldre struts2-bibliotek. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till din AEM Forms-server:

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    Verktyget kräver Internetanslutning eftersom beroenden hämtas vid körning. Kontrollera därför att du är ansluten till Internet innan du kör verktyget.
  4. Kör följande kommandon i den angivna ordningen för rekursiv ersättning på plats. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till AEM Forms-servern och filen struts2-core-2.5.33.jar.

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar
    

    Ovanstående steg korrigerar alla öronfiler med äldre struts2-bibliotek.

  5. Avdistribuera den äldre EAR-filen och distribuera den patchade EAR-filen, som finns i exportmappen, till programservern.

  6. Starta AEM Forms Server.

Linux
  1. Stäng alla serverinstanser och sökare.

  2. Öppna terminalfönstret och navigera till den mapp som innehåller AEM Forms on JEE Manual Patching Tool (extraherade filer).

  3. Kör följande kommando för att söka i alla filer med äldre struts2-bibliotek. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till din AEM Forms-server:

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    Verktyget kräver Internetanslutning eftersom beroenden hämtas vid körning. Kontrollera därför att du är ansluten till Internet innan du kör verktyget.
  4. Kör följande kommandon i den angivna ordningen för rekursiv ersättning på plats. Innan du kör kommandot måste du ersätta sökvägen i kommandot med sökvägen till AEM Forms-servern och filen struts2-core-2.5.33.jar.

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar
    

    Ovanstående steg korrigerar alla öronfiler med äldre struts2-bibliotek.

  5. Avdistribuera den äldre EAR-filen och distribuera den patchade EAR-filen, som finns i exportmappen, till programservern.

  6. Starta AEM Forms Server.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2