解決AEM On-Premise中的Node.js 14.x漏洞
本文說明如何解決在Red Hat Enterprise Linux (RHEL)上執行的AEM內部部署環境中,因過時安裝Node.js 14.x所導致的安全問題。 雖然開發環境使用Node.js 16,但系統仍包含較舊的Node.js 14套件,這會觸發來自安全性掃描器的警報。 若要解決此問題,請移除或停用過時的套件。
說明 description
環境
產品:Adobe Experience Manager (AEM) On-Premise, v6.5
作業系統:Red Hat Enterprise Linux (RHEL)
問題
- 安全性掃描器會偵測因Node.js 14.x產生的弱點,此版本已於2023年4月30日終止服務。
- 系統仍包含位於
/opt/rh/rh-nodejs14/root/usr/bin/node的過時Node.js二進位檔。 - 開發環境使用Node.js 16,但舊版本仍會安裝在作業系統層級。
- 掃描器會藉由檢查Node.js版本和執行階段設定來標示問題。
解決方法 resolution
若要解決問題,請依照下列步驟進行:
- 在應用程式環境中執行
node -v,以確保AEM處理程式使用Node.js 16。 此外,檢查是否有任何程式或建置步驟會叫用舊版Node.js 14二進位。 - 檢查Node.js 14安裝是否作為RHEL封裝集的一部分進行管理。 請檢閱RHEL檔案,確認是否有安全性更新或反向移植的修補程式可用。 即使正式生命週期結束,部分廠商仍持續提供維護修補程式。
- 如果舊版Node.js 14套件已不再使用且沒有可用的維護更新,請將其移除,以降低系統的攻擊面並改善整體安全性。
- 更新部署檔案以反映Node.js 16二進位的使用。 解決作業系統層級安裝和應用程式層級執行階段環境之間的任何不相符專案,以防止出現誤報的弱點報告。
- 確認報告的漏洞源自作業系統層級Node.js安裝,而非更新後的程式碼基底。
遵循這些步驟有助於消除過時的軟體風險,並確保AEM內部部署環境的安全性和合規性。
相關閱讀
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f