文档AEM 6.5用户指南

缓解Experience Manager Forms的Log4j2漏洞

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 适用对象:
  • Experience Manager 6.5

创建对象:

  • 管理员

问题

已报告Apache Log4j2(基于Java的应用程序的常用日志库)存在严重安全漏洞。 已分析以下漏洞:

漏洞
受影响的内容
哪些内容未受影响?
状态
CVE-2021-44228
  • JEE上的Experience Manager 6.5 Forms(从6.5 GA到6.5.11的所有版本)
  • JEE上的Experience Manager 6.4 Forms(从6.4 GA到6.4.8的所有版本)
  • JEE上的Experience Manager 6.3 Forms(从6.3 GA到6.3.3的所有版本)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • 自动化表单转换服务
  • Experience Manager Forms Workbench(所有版本)
  • OSGi上的Experience Manager Forms(所有版本)
这些已被修复。 有关修复和缓解步骤,请参阅 解决办法 部分。
CVE-2021-45046
CVE-2021-45105
对于开箱即用的日志记录配置,任何Experience Manager Forms版本都不会受到影响。 如果您有任何其他记录配置,请检查这些配置是否存在这些漏洞。
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
AEM 6.5.13.0 Forms及更早版本包含这两个Log4j库(1.x和2.17.1)。 AEM 6.5.13.0 Forms及更早版本中的AEM Forms Log4j 1.x库不在报告的漏洞之列,也未在由Adobe执行的AEM Forms代码扫描中标注为易受攻击。 但是,所有Log4j 1.x库都将在6.5.14版本中删除。 有关安装AEM 6.5.14.0或更高版本的说明,请参阅发行说明

解决方法

您可以使用以下方法之一来降低此漏洞的风险:

  • 安装最新的服务包
  • 采用手动缓解步骤

安装最新的Service Pack

CAUTION
如果您已在Experience Manager Forms Service Pack 6.3.3.8或Experience Manager Forms Service Pack 6.4.8.4环境中应用修补程序,则不要安装包含漏洞修补程序的服务包(如下所示)。 安装这些Service Pack可能会覆盖修补程序。 在这种情况下,Adobe建议使用​ 手动缓解步骤
发行版本
版本号
下载链接/用户操作
JEE上的Experience Manager 6.5 Forms
AEMForms-6.5.0-0038 (log4jv2.16)
软件分发下载。
JEE上的Experience Manager 6.4 Forms
AEMForms-6.4.0-0027
JEE上的Experience Manager 6.3 Forms
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
自动化表单转换服务
确定了缓解步骤并修补了服务。
没有用户操作。

采用手动缓解步骤

要针对Experience Manager 6.5 Forms(log4j-core版本2.10及更高版本)、Experience Manager 6.4 Forms(低于2.10的log4j-core版本)和Experience Manager 6.3 Forms(低于2.10的log4j-core版本)缓解此问题,请执行以下步骤:

  1. 关闭所有服务器实例和定位器。

  2. 从位于以下位置的易受攻击的log4j-core-2.xx.jar中删除org/apache/logging/log4j/core/lookup/JndiLookup.class

    • 可部署的EAR:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • GemFire或Geode定位器:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    要更新可部署的EAR,请根据您的操作系统,使用以下方法之一从易受攻击的log4j-core-2.xx.jar中删除JndiLookup.class

    • (具有Oracle WebLogic或Redhat JBoss的Linux):运行以下命令。 更新version和应用程序服务器信息,然后运行以下命令:
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (具有IBM WebSphere的Linux):运行以下命令。 更新version和应用程序服务器信息,然后运行以下命令:
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows):使用7-Zip等GUI工具删除类文件。

  3. 对每个应用程序服务器实例(节点)和所有定位器(如果有多个)重复步骤2。

  4. 更新jar后,重新部署修改过的EAR并重新启动所有定位器进程和服务器实例。

NOTE
  • 将log4j-core-2.xx jar的原始副本替换为更新后的副本。 无需进行其他更改。
  • 再次运行配置管理器时,可以覆盖<FORMS_INSTALLATION_DIRECTORY/configurationManager/export的内容。 要避免每次发生此情况时都重新执行上述更改,请在<FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear中更新jar。 这可确保配置管理器生成的adobe-livecycle-[jboss|weblogic|websphere].ear已具有更新的log4j-core-2.xx jar
  • 修补/升级时,可能会覆盖对可部署工件所做的手动修改。 如果发生这种情况,请重新执行该过程。

引用

https://logging.apache.org/log4j/2.x/security.html

如果在执行缓解步骤时遇到其他问题或问题,我应该联系谁?

您可以联系Adobe支持或提出支持票证

如果在执行缓解步骤时遇到其他问题或问题,我应该联系谁?
法律声明 | 联机隐私策略

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2