Product
Beveiligingsupdates beschikbaar voor Adobe Experience Manager
Releasedatum: 13 december 2016
Laatst bijgewerkt: 14 december 2016
ID kwetsbaarheidsprobleem: APSB16-42
Prioriteit: 2
CVE-nummer: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885
Platform: alle
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor Adobe Experience Manager. Deze updates verhelpen drie belangrijke problemen met validatie van invoer die kunnen worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites) (CVE-2016-7882, CVE-2016-7883 en CVE-2016-7884). Tevens is een update inbegrepen die gebruikers beschermt tegen een belangrijke kwetsbaarheid door aanvraagvervalsing op meerdere sites (CVE-2016-7885).
Van toepassing op de volgende versies
|
Van toepassing op de volgende versies |
Platform |
|
6.2 |
Alles |
Adobe Experience Manager |
6.1 |
Alles |
|
6.0 |
Alles |
Oplossing
Versies |
Prioriteitsbeoordeling |
Beschikbaarheid |
|
|
6.2 |
2 |
|
Adobe Experience Manager |
6.1 |
2 |
|
|
6.0 |
2 |
Neem contact op met de klantenservice van Adobe voor hulp bij eerdere AEM-versies.
Details van kwetsbaarheid
Beschrijving |
CVE |
Van toepassing op de volgende versies |
Downloadpakket |
De updates verhelpen een belangrijk probleem met validatie van invoer in het WCMDebug-filter dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites). |
CVE-2016-7882 |
6.2 en eerdere versies |
|
De updates verhelpen een belangrijk probleem met validatie van invoer in de wizard voor het maken van lanceringen dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites). |
CVE-2016-7883 |
6.2 |
|
De updates verhelpen een belangrijk probleem met validatie van invoer bij het maken van middelen in DAM dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites). |
CVE-2016-7884 |
6.1 en eerdere versies |
|
Het onderdeel Jackrabbit is bijgewerkt om gebruikers te beschermen tegen aanvraagvervalsing op meerdere sites. |
CVE-2016-7885 |
6.2 en eerdere versies |
[0] Opmerking: Hotfix 12444 voor 6.1 SP2 is opgenomen in AEM 6.1 SP2 CFP2.
Dankbetuigingen
Adobe dankt Daniel Hamid voor het melden van het probleem CVE-2016-7882 en voor de samenwerking met Adobe om onze klanten te helpen beschermen. CVE-2016-7883, CVE-2016-7884 en CVE-2016-7885 zijn anoniem gemeld.
Revisies
14 december 2016: de platforms waarop het van invloed is, gewijzigd naar Alle (voorheen werden alleen Windows, Unix, Linux en OS X genoemd). Daarnaast is een opmerking opgenomen om duidelijk te maken dat Hotfix 12444 eerder was opgenomen bij AEM 6.1 SP2 CFP2.