Beveiligingsupdates beschikbaar voor Adobe Experience Manager

Releasedatum: 9 februari 2016

Laatst bijgewerkt: 12 februari 2016

ID kwetsbaarheidsprobleem: APSB16-05

Prioriteit: 2

CVE-nummer: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Platform:  Windows, Unix, Linux en OS X

Samenvatting

Adobe heeft beveiligingshotfixes vrijgegeven voor Adobe Experience Manager. Deze hotfixes verhelpen belangrijke kwetsbaarheden die kunnen leiden tot mogelijke openbaarmaking van informatie.  

Van toepassing op de volgende versies

Product Van toepassing op de volgende versies Platform
  6.1.0 Windows, Unix, Linux en OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux en OS X
  5.6.1 Windows, Unix, Linux en OS X

Oplossing

Adobe raadt klanten met installaties op locatie aan de beschikbare onderstaande hotfixes te installeren.  Bovendien moeten klanten de stappen controleren en implementeren die worden beschreven in de Beveiligingcontrolelijsten voor versies 6.1, 6.0 of 5.6.1.

Product Versies Prioriteitsbeoordeling Beschikbaarheid
  6.1.0
2 Hotfixes (6.1.0)
Adobe Experience Manager 6.0.0 2 Hotfixes (6.0)
  5.6.1 2 Hotfixes (5.6.1)

Ga naar de helppagina van Adobe Experience Manager voor meer informatie over beschikbare hotfixes.  

Details van kwetsbaarheid

Beschrijving CVE Downloadpakket
  • Hotfix 8364 bevat een oplossing voor problemen met Java-deserialisatie
CVE-2016-0958

Hotfix voor 6.1
Hotfix voor 6.0
Hotfix voor 5.6.1

  • Hotfix 8651 verhelpt een kwetsbaarheid met scripts op meerdere sites die uitsluitend van invloed is op versie 6.1.0 en die tot openbaarmaking van informatie kan leiden
CVE-2016-0955

Hotfix voor 6.1

  • Hotfix 6445 verhelpt een kwetsbaarheid die kan leiden tot openbaarmaking van informatie en die van invloed is op Apache Sling Servlets Post 2.3.6 en eerdere versies
CVE-2016-0956

Hotfix voor 6.1
Hotfix voor 6.0
Hotfix voor 5.6.1

  • Dispatcher 4.1.5 en hogere versies verhelpen een kwetsbaarheid voor omleidingen van URL-filters die kan worden gebruikt om dispatcherregels te omzeilen
CVE-2016-0957 Dispatcher

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:

  • Damian Pfammatter van Compass Security Schweiz AG (CVE-2016-0955)
  • Ateeq ur Rehman Khan - Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

Revisies

12 februari 2016:

  • De tekst “en eerdere versies” is toegevoegd om duidelijk te maken dat CVE-2016-0956 van invloed is op Apache Sling Servlets Post 2.3.6 en eerdere versies.  
  • De beschrijving van CVE-2016-0955 is aangepast om duidelijk te maken dat de kwetsbaarheid alleen van invloed is op versie 6.1.0. CVE-2016-0955 is niet van invloed op eerdere versies dan AEM 6.1.0.  
  • De sectie Details van kwetsbaarheid heeft een nieuwe indeling in tabelvorm en bevat nu de URL's voor de downloadpakketten van de afzonderlijke hotfixes.