Bulletin-id
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB21-15
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB21-15 |
11 mei 2021 |
2 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen kritieke en belangrijke kwetsbaarheden. Misbruik van deze kwetsbaarheden kan leiden tot willekeurige JavaScript-uitvoering in de browser.
Van toepassing op de volgende productversies
Product | Versie | Platform |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
6.5.7.0 en eerdere versies |
Alles |
|
6.4.8.3 en eerdere versies |
Alles |
|
6.3.3.8 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles | 2 | Releaseopmerkingen |
6.5.8.0 |
Alles |
2 |
Release-opmerkingen bij AEM 6.5-servicepakket | |
6.4.8.4 |
Alles |
2 |
Release-opmerkingen bij het cumulatief reparatiepakket voor AEM 6.4 |
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Het cumulatief reparatiepakket 6.4.8.4 voor AEM is een belangrijke update die verschillende interne en klantenoplossingen omvat sinds de algemene beschikbaarheid van AEM 6.4-servicepakket 8 (6.4.8.0) in maart 2020.
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummer |
Van toepassing op de volgende versies |
---|---|---|---|---|
Foutief toegangsbeheer |
Application denial-of-service |
Belangrijk |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Scripts die verwijzen naar andere sites (opgeslagen) |
Arbitraire uitvoering van JavaScript in de browser |
Kritiek |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Updates voor afhankelijkheden
Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
Commons-io |
Foutief toegangsbeheer |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
MetadataExtractor |
Uncontrolled Resource Consumption |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
FasterXML Jackson Databind/Core |
Externe code-uitvoering |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Eclipse Jetty |
Foutief toegangsbeheer |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Lucene Queryparser |
Externe code-uitvoering |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Apache XML-RPC |
Willekeurige code-uitvoering |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Zip4j |
Willekeurige code-uitvoering |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Apache Directory LDAP API |
Foutief toegangsbeheer | AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Apache Sling |
Foutief toegangsbeheer | AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Apache Felix |
Willekeurige code-uitvoering |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Apache Solr |
Foutieve toegang tot Lezen/Schrijven |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Apache Tomcat |
Foutief toegangsbeheer |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
jQuery |
Willekeurige code-uitvoering |
AEM CS AEM 6.5.7.0 en eerdere versies AEM 6.4.8.3 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Dankbetuigingen
Adobe bedankt Thomas Hartmann van netcentric (CVE-2021-21083) voor het melden van beide problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen.