Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Experience Manager

Freigabedatum: 13. Dezember 2016

Letzte Aktualisierung: 14. Dezember 2016

Kennung der Sicherheitslücke: APSB16-42

Priorität: 2

CVE-Nummern: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Plattform: Alle

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Experience Manager veröffentlicht. Durch die Updates werden drei wichtige Sicherheitslücken bei der Eingabevalidierung, die in Cross-Site-Scripting-Angriffen verwendet werden könnten, behoben (CVE-2016-7882, CVE-2016-7883 und CVE-2016-7884). Sie umfassen außerdem ein Update, um Anwender vor einer wichtigen Cross-Site Request Forgery zu schützen (CVE-2016-7885).

Betroffene Versionen

Produkt Betroffene Versionen Plattform
  6.2 Alle
Adobe Experience Manager 6.1 Alle
  6.0 Alle

Lösung

Adobe empfiehlt Kunden mit Bereitstellungen vor Ort die Installation der nachfolgend aufgeführten verfügbaren Updates. Darüber hinaus sollten Kunden die in den Sicherheitschecklisten für die Versionen 6.26.1 bzw. 6.0 aufgeführten Schritte überprüfen und umsetzen.

Produkt Versionen Priorität Verfügbarkeit
  6.2
2 Versionshinweise
Adobe Experience Manager 6.1 2 Versionshinweise
  6.0 2 Versionshinweise

Bitte wenden Sie sich für Hilfe mit früheren AEM-Versionen an die Adobe Kundenunterstützung.

Sicherheitslückendetails

Beschreibung CVE Betroffene Versionen Download-Paket

Durch die Updates wird eine wichtige Sicherheitslücke bei der Eingabevalidierung im WCMDebug-Filter geschlossen, die in Cross-Site-Scripting-Angriffen verwendet werden könnte.

CVE-2016-7882
6.2 und frühere Versionen Hotfix 12444 für 6.2
Hotfix 12444 für 6.1 SP2 [0]
Hotfix 12444 für 6.0 SP3

Durch die Updates wird eine wichtige Sicherheitslücke bei der Eingabevalidierung im Create Launch-Assistenten geschlossen, die in Cross-Site-Scripting-Angriffen verwendet werden könnte.

CVE-2016-7883
6.2 Hotfix 13062 für 6.2

Durch die Updates wird eine wichtige Sicherheitslücke bei der Eingabevalidierung in DAM Create Assets geschlossen, die in Cross-Site-Scripting-Angriffen verwendet werden könnte.

CVE-2016-7884
6.1 und frühere Versionen Cumulative Fix Pack für 6.1 SP2
Hotfix 13297 für 6.0 SP3

Updates in der Jackrabbit-Komponente zum Schutz vor Cross-Site Request Forgery.

CVE-2016-7885 6.2 und frühere Versionen Hotfix 13547 für 6.2
Hotfix 12817 für 6.1
Hotfix 12846 für 6.0

[0] Hinweis: Hotfix 12444 für 6.1 SP2 ist in AEM 6.1 SP2 CFP2 enthalten.

Danksagung

Adobe bedankt sich bei Daniel Hamid für das Melden von CVE-2016-7882 und den Beitrag zum Schutz der Sicherheit unserer Kunden.  CVE-2016-7883, CVE-2016-7884 und CVE-2016-7885 wurden anonym gemeldet.

Historie

14. Dezember 2016: Die betroffenen Plattformen wurden zu „alle“ geändert (zuvor waren Windows, Unix, Linux und OS X angegeben). Außerdem wurde ein Hinweis hinzugefügt, um klarzustellen, dass Hotfix 12444 zuvor in AEM 6.1 SP2 CFP2 enthalten war.