خوش آمدید

اصلاحیه مشکل امنیتی log4j2 در نرم افزار Adobe Connect

اصلاحیه مشکل امنیتی log4j2 در نرم افزار Adobe Connect

چند روزی هست که مشکل امنیتی کتابخانه محبوب log4j2 باعث شده خیلی از کمپانی ها و شرکت های بزرگ شروع به ارائه اصلاحات در محصولات خودشون کنن و با توجه به امتیاز بالای این آسیب پذیری اصلا نباید غافل شد از نصب اصلاحیه ها. در مورد فرآیندی که با توجه به این آسیب پذیری داره اتفاق میفته به علت تنوع زیاد محصولات آسیب پذیر مراجعه به patch های ارائه شده اون محصول خاص در حال حاضر راه حل مهمی محسوب میشه.


چون استفاده کنندگان ادوبی کانکت در حال حاضر مخصوصا بعد از کرونا بسیار زیاد شده و برخی از مشتریان ماهم این سرویس رو داشتن در ادامه اصلاحیه ارائه شده توسط ادوبی کانکت رو بررسی و روش انجام رو توضیح خواهیم داد.

این اصلاحیه بر روی نسخه 10.8 اعمال و مشکلی در ارتباط با سرویس دهی پس از انجام تغییرات نداشته ولی شما قبل از ادیت 2 فایل قید شده یک کپی بعنوان پشتیبان داشته باشین تا در صورت بروز مشکل احتمالی فایل ها رو بازیابی کنید.

1 - ما فرض رو بر این میزاریم که شما ادوبی کانکت رو در مسیر : C:\Connect نصب کردین

2 - پس از ورود به شاخه اصلی به 10.8.0 و زیر شاخه appserv و سپس  conf میریم.

3 - یک کپی از فایل ConnectProSvc.conf ابتدا بگیرین و سپس در یک ادیتور مناسب فایل رو جهت ویرایش باز کنید

4 - در خط 112 بعد از دو خط ذیل :

wrapper.java.additional.61=-Dorg.apache.catalina.loader.WebappClassLoader.ENABLE_CLEAR_REFERENCES=false
#wrapper.java.additional.62=-Djava.security.auth.login.config=.\conf\JDBCDriverKerberos.conf

5 - این خط رو اضافه میکنیم : (# خط دوم طبیعتا در فایل شما در شروع هست و خط کامنت شده ، اینجا بر اساس دایرکشن صفحه در انتها نشونه داده میشه)

wrapper.java.additional.65=-Dlog4j2.formatMsgNoLookups=true

 

6 - فایل رو ذخیره و سرویس اصلی ادوبی کانکت (Adobe Connect Service) رو یکبار ریستارت کنید و چند لحظه صبر کنید و در صورتی که مجدد ادوبی فعال شد و مشکلی نبود اصلاحیه رو به درستی اعمال کردید. در غیر اینصورت باید چک کنید چه اشتباهی داشتید.

نکته 1 : ما نخواستیم خیلی آموزش رو پیچیده کنیم اما جهت اطلاع شما دوستان اگر دقت کنید در این فایل index گذاری شده و شما بعد از عدد 62 دارین خط اصلاحیه رو اضافه می کنید. پس اگر در آموزش اصلی عدد 63 قید شده و شما ندارین اون برمیگرده به نسخه یا به هر حال تغییرات احتمالی.

 

7 - اصلاحیه بعدی در TelephonyService هست و در صورتی که این سرویس رو نصب کردید تغییرات بعدی رو هم باید انجام بدین

8 - مجدد به شاخه اصلی ادوبی کانکت برگردین (C:\Connect) و وارد شاخه 10.8.0 و TelephonyService و نهایتا فایل TelephonyService.conf رو در یک ادیتور مناسب باز میکنیم

9 - به خط 60 این فایل رفته و بعد از دو خط ذیل :

wrapper.java.additional.55=-Djava.util.logging.manager=org.apache.logging.log4j.jul.LogManager
wrapper.java.additional.56=-Dlibrary.service=WIN32

خط اصلاحیه رو وارد میکنیم :

wrapper.java.additional.57=-Dlog4j2.formatMsgNoLookups=true

فایل رو ذخیره و سرویس Adobe Connect Telephony رو ریستارت می کنید.

 

نکته 2 : در صورت بروز مشکلی در استارت ادوبی با برگردوندون کپی این فایل ها مشکل حل میشه. اما اگر ریستارت کردید و سرویس مجدد راه اندازی نشد به هر دلیلی باید event log رو ببینید . در عین حال پیشنهاد ما اینه قبل از هرگونه تغییر یک stop/start کنید سرویس رو و ببینید همه چیز اوکی باشه در راه اندازی مجدد بعد تغییرات بالا رو اعمال کنید چون موادر خیلی محدودی ممکنه پیش بیاد که کلا سرویس یک مشکلی داشته از قبل و بعد ریستارت خودش رو نشون داده.

نکته 3 : شرکت trendmicro یک آنالیز آنلاین برای این مشکل امنیتی قرار داده که ممکنه به کارتون بیاد پس از این آدرس میتونید به این آنالیزر دسترسی پیدا کنید :

https://log4j-tester.trendmicro.com

نکته 4 : این اصلاحیه طبق مرجع رسمی ادوب ترجمه و اینجا قرار داده شده پس استناد خود کمپانی ادوب بوده است.

 

 

 

 



کپی
لینک اشتراک گذاری

  • 804
  • 0