Bulletin-ID
Zuletzt aktualisiert am
5. November 2021
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB21-82
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB21-82 |
14. September 2021 |
2 |
Zusammenfassung
Betroffene Produktversionen
| Produkt | Version | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.9.0 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Versionshinweise |
6.5.10.0 |
Alle |
2 |
AEM 6.5 Service Pack – Versionshinweise |
Hinweis:
Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.
Hinweis:
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.4, 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummer |
|
|---|---|---|---|---|---|
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
CVE-2021-40711 |
|
Unangemessene Eingabevalidierung (CWE-20) |
Anwendungsabsturz |
Wichtig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-40712 |
|
Unangemessene Zertifikatvalidierung (CWE-295) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2021-40713 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-40714 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
|
Updates für Abhängigkeiten
| Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
| Iodash |
Willkürliche Ausführung von Code |
AEM CS AEM 6.5.9.0 und früher |
| Apache Sling | Path Traversal | AEM CS AEM 6.5.9.0 und früher |
| Jetty |
Denial-of-Service |
AEM CS AEM 6.5.9.0 und früher |
| Jackson-Databind |
Deaktivierte Zuweisung von Byte-Puffer |
AEM CS AEM 6.5.9.0 und früher |
Danksagung
Adobe bedankt sich bei Lorenzo Pirondini (Netcentric, ein Unternehmen von Cognizant Digital) (CVE-2021-40711, CVE-2021-40712) und Eckbert Andresen (CVE-2021-42725) für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden.
Überarbeitungen
27. September 2021: Details zur Bestätigung für CVE-2021-40712 und CVE-2021-40712 aktualisiert.
4. Oktober 2021: CVSS-Basiswert, Vektor und Schweregrad für CVE-2021-40711 aktualisiert.
28. Oktober 2021: Details zu CVE-2021-42725 wurden hinzugefügt.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
