緩解Experience Manager Forms的Struts 2漏洞 mitigatin-struts2-rce-vulnerabilities-for-aem-forms

問題

已報告Struts 2的重大安全漏洞,這是一個用於開發Java EE Web應用程式的常用且開放原始碼的Web應用程式架構。 已分析下列漏洞:

漏洞
受影響的專案?
哪些專案未受影響?
CVE-2023-50164
在JEE上Experience Manager6.5 Forms (從6.5 GA到6.5.19.0的所有版本)
  • Experience Manager Forms Workbench (所有版本)
  • OSGi上的Experience Manager Forms (所有版本)
  • Experience Manager Formsas a Cloud Service

解決方法

下表列出所有受影響版本的解決方案:

發行
目前版本
使用者動作
在JEE上Experience Manager6.5 Forms
6.5.19.0
安裝最新Service Pack
在JEE上Experience Manager6.5 Forms
6.5.13.0 - 6.5.18.0

使用下列其中一種方法:

在JEE上Experience Manager6.5 Forms
6.5 - 6.5.12.0
安裝最新Service Pack

注意: AEM Forms目前支援6.5.13.0版到6.5.19.0版。如果您使用舊版,建議升級至6.5.13.0或更新版本。 如需安裝AEM 6.5.13.0或更新版本的指示,請參閱發行說明。

使用手動緩解步驟 use-manual-mitigation-steps

您可以使用手動緩解步驟來解決執行Service Pack 13的AEM 6.5表單伺服器到執行Service Pack 18 (6.5.13.0 - 6.5.18.0)的AEM 6.5表單伺服器上的問題:

  1. 下載 struts-core 2.5.33 jar 至本機資料夾。 例如,C:\Users\labuser\Desktop\struts2-core-2.5.33.jar。

  2. 從下載AEM Forms on JEE手動修補工具 Software Distribution.

  3. 解壓縮手動修補工具封存。 例如,將擷取至 /Users/labuser/Desktop/archive-patcher-1.0.0 folder. 下列檔案已解壓縮:

    • archive-patcher-1.0.0.jar
    • patch-archive.bat
    • patch-archive.sh
Windows
  1. 關閉所有伺服器執行個體和定位器。

  2. 開啟終端機視窗,並導覽至包含AEM Forms on JEE手動修補工具(解壓縮的檔案)的資料夾。

  3. 執行以下命令,搜尋所有具有舊版struts2程式庫的檔案。 在執行命令之前,請將命令中的路徑取代為AEM Forms伺服器的路徑:

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    工具需要網際網路連線,因為它在執行階段下載相依性。 因此,在執行工具之前,請確定您已連線至網際網路。
  4. 以列出的順序執行下列命令,以遞回就地取代。 在執行命令之前,請將命令中的路徑取代為AEM Forms伺服器的路徑,並 struts2-core-2.5.33.jar 檔案。

    code language-none
    patch-archive.bat -root=C:\Adobe\Adobe_Experience_Manager_Forms\configurationManager\export -pattern=.*struts2-core.*jar$ -action=replace C:\Users\labuser\Desktop\struts2-core-2.5.33.jar
    

    上述步驟會使用舊版struts2程式庫來修補所有ear檔案。

  5. 取消部署舊版EAR,並將匯出資料夾中提供的已修補EAR檔案部署至您的應用程式伺服器。

  6. 啟動您的AEM Forms伺服器。

Linux
  1. 關閉所有伺服器執行個體和定位器。

  2. 開啟終端機視窗,並導覽至包含AEM Forms on JEE手動修補工具(解壓縮的檔案)的資料夾。

  3. 執行以下命令,搜尋所有具有舊版struts2程式庫的檔案。 在執行命令之前,請將命令中的路徑取代為AEM Forms伺服器的路徑:

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$
    
    note note
    NOTE
    工具需要網際網路連線,因為它在執行階段下載相依性。 因此,在執行工具之前,請確定您已連線至網際網路。
  4. 以列出的順序執行下列命令,以遞回就地取代。 在執行命令之前,請將命令中的路徑取代為AEM Forms伺服器的路徑,並 struts2-core-2.5.33.jar 檔案。

    code language-none
    ./patch-archive.sh -root=/opt/Adobe/Adobe_Experience_Manager_Forms/configurationManager/export/ -pattern=.*struts2-core.*jar$ -action=replace /opt/struts2-core-2.5.33.jar
    

    上述步驟會使用舊版struts2程式庫來修補所有ear檔案。

  5. 取消部署舊版EAR,並將匯出資料夾中提供的已修補EAR檔案部署至您的應用程式伺服器。

  6. 啟動您的AEM Forms伺服器。

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2