文件AEM 6.5使用手冊

緩解Experience Manager Forms的Log4j2漏洞

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 適用對象:
  • Experience Manager 6.5

建立對象:

  • 管理員

問題

已報告Apache Log4j2 (Java型應用程式的常用記錄程式庫)的嚴重安全漏洞。 已分析下列漏洞:

漏洞
受影響的專案
哪些專案未受影響?
狀態
CVE-2021-44228
  • JEE版Experience Manager 6.5 Forms (6.5 GA至6.5.11的所有版本)
  • JEE版Experience Manager 6.4 Forms (6.4 GA至6.4.8的所有版本)
  • JEE版Experience Manager 6.3 Forms (6.3 GA至6.3.3的所有版本)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • 自動化表單轉換服務
  • Experience Manager Forms Workbench (所有版本)
  • OSGi上的Experience Manager Forms (所有版本)
這些問題已修正。 請參閱 解決方法 區段以取得修正和緩解步驟。
CVE-2021-45046
CVE-2021-45105
現成可用的記錄設定不影響任何Experience Manager Forms版本。 如果您有任何其他記錄設定,請檢查這些設定是否有這些漏洞。
CVE-2021-44832
CVE-2021-4104
CVE-2022-22963
CVE-2022-22965
CVE-2020-9488
CVE-2022-23307
NOTE
AEM 6.5.13.0 Forms及舊版包含這兩個Log4j程式庫(1.x和2.17.1)。 AEM 6.5.13.0 Forms及舊版中的AEM Forms Log4j 1.x程式庫不屬於所回報的弱點的一部份,也未在由Adobe執行的AEM Forms程式碼掃描中標註為易受攻擊。 不過,所有Log4j 1.x程式庫都會在6.5.14版本中移除。 如需安裝AEM 6.5.14.0或更新版本的指示,請參閱發行說明

解決方法

您可以使用下列其中一種方法來降低此漏洞的風險:

  • 安裝最新Service Pack
  • 使用手動緩解步驟

安裝最新的Service Pack

CAUTION
如果您已在Experience Manager Forms Service Pack 6.3.3.8或Experience Manager Forms Service Pack 6.4.8.4環境中套用Hotfix,請勿安裝包含漏洞修正的Service Pack (如下所示)。 安裝這些Service Pack可能會覆寫Hotfix。 Adobe建議在此情況下使用​ 手動緩解步驟
發行
版本
下載連結/使用者動作
JEE上的Experience Manager 6.5 Forms
AEMForms-6.5.0-0038 (log4jv2.16)
軟體發佈下載。
JEE上的Experience Manager 6.4 Forms
AEMForms-6.4.0-0027
JEE上的Experience Manager 6.3 Forms
AEMForms-6.3.0-0047
Experience Manager 6.5 Forms Designer
AEM Forms Designer v650.019
Experience Manager 6.4 Forms Designer
AEM Forms Designer v640.012
自動化表單轉換服務
已識別緩解步驟並修補服務。
沒有使用者動作。

使用手動緩解步驟

若要針對Experience Manager 6.5 Forms (log4j-core 2.10版和更新版本)、Experience Manager 6.4 Forms (2.10以前的log4j-core版本)和Experience Manager 6.3 Forms (2.10以前的log4j-core版本)緩解此問題,請執行以下步驟:

  1. 關閉所有伺服器執行個體和定位器。

  2. 從下列位置可用的易受攻擊的log4j-core-2.xx.jar中移除org/apache/logging/log4j/core/lookup/JndiLookup.class

    • 可部署EAR:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/configurationManager/export/adobe-livecycle-[jboss|weblogic|websphere].ear
    • GemFire或Geode定位器:
    code language-javascript 
    <FORMS_INSTALLATION_DIRECTORY>/lib/caching/lib

    若要根據您的作業系統更新可部署的EAR,您可以使用下列其中一種方法,從易受攻擊的log4j-core-2.xx.jar移除JndiLookup.class

    • (具有Oracle WebLogic或Redhat JBoss的Linux):執行以下命令。 在執行下列命令之前,請先更新version和應用程式伺服器資訊:
    code language-javascript 
    unzip adobe-livecycle-<weblogic|jboss>.ear lib/log4j-core-<version>.jar
    code language-javascript 
    zip -d lib/log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.  class
    code language-javascript 
    zip -ru adobe-livecycle-jboss.ear lib/log4j-core-<version>.jar
    • (具有IBM WebSphere的Linux):執行下列命令。 在執行下列命令之前,請先更新version和應用程式伺服器資訊:
    code language-javascript 
    unzip adobe-livecycle-websphere.ear log4j-core-<version>.jar
    code language-javascript 
    zip -d log4j-core-xxx.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • (Microsoft Windows):使用7-Zip之類的GUI工具移除類別檔案。

  3. 對每個應用程式伺服器執行個體(節點)和所有位置(如果超過一個)重複步驟2。

  4. 更新jar後,重新部署修改過的EAR並重新啟動所有定位器處理程式和伺服器執行個體。

NOTE
  • 將log4j-core-2.xx jar的原始副本替換為更新後的副本。 不需要進行其他變更。
  • 再次執行組態管理員時,可以覆寫<FORMS_INSTALLATION_DIRECTORY/configurationManager/export的內容。 為避免每次發生此情況時都重新執行上述變更,請在<FORMS_INSTALLATION_DIRECTORY>/deploy/adobe-core-[jboss|weblogic|websphere].ear中更新jar。 這可確保組態管理員產生的adobe-livecycle-[jboss|weblogic|websphere].ear已經更新log4j-core-2.xx jar
  • 修補/升級時,可以覆寫對可部署成品進行的手動修改。 如果發生此情況,請重新套用程式。

參考

https://logging.apache.org/log4j/2.x/security.html

如果我執行緩解步驟時遇到其他問題或任何問題,應該聯絡誰?

您可以聯絡Adobe支援或提出支援票證

如果我在執行緩解步驟時遇到其他問題或任何問題,應該聯絡誰?
法律注意事項 | 線上隱私權原則

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2