Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager

Data de liberação: 9 de fevereiro de 2016

Última atualização: 12 de fevereiro de 2016

Identificador de vulnerabilidade: APSB16-05

Prioridade: 2

Número CVE: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Plataforma: Windows, Unix, Linux e OS X

Resumo

A Adobe lançou correções de segurança para o Adobe Experience Manager. Essas correções resolvem vulnerabilidades importantes que podem levar à divulgação de informações.

Versões afetadas

Produto Versões afetadas Plataforma
  6.1.0 Windows, Unix, Linux e OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux e OS X
  5.6.1 Windows, Unix, Linux e OS X

Solução

A Adobe recomenda que os clientes com implantações locais instalem as correções disponíveis abaixo. Além disso, os clientes devem revisar e implementar as etapas destacadas nas Listas de verificação de segurança para as versões 6.1, 6.0 ou 5.6.1.

Produto Versões Classificação de prioridade Disponibilidade
  6.1.0
2 Correções (6.1.0)
Adobe Experience Manager 6.0.0 2 Correções (6.0)
  5.6.1 2 Correções (5.6.1)

Acesse a página de ajuda do Adobe Experience Manager para obter mais informações sobre as correções disponíveis.

Detalhes da vulnerabilidade

Descrição CVE Pacote de download
  • A correção 8364 inclui um agente de mitigação de problemas de desserialização do Java
CVE-2016-0958

Correção para 6.1
Correção para 6.0
Correção para 5.6.1

  • A correção 8651 resolve uma vulnerabilidade de script de cross-site, afetando exclusivamente a versão 6.1.0, que pode levar à divulgação de informações
CVE-2016-0955

Correção para 6.1

  • A correção 6445 resolve uma vulnerabilidade de divulgação de informações afetando o Apache Sling Servlets Post 2.3.6 e versões anteriores
CVE-2016-0956

Correção para 6.1
Correção para 6.0
Correção para 5.6.1

  • O expedidor 4.1.5 ou superior resolve uma vulnerabilidade de desvio de filtro de URL, que pode ser usada para evitar as regras do expedidor
CVE-2016-0957 Expedidor

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar problemas relevantes e por trabalhar com a Adobe para ajudar na proteção de nossos clientes:

  • Damian Pfammatter da Compass Security Schweiz AG (CVE-2016-0955)
  • Ateeq ur Rehman Khan - Laboratórios de vulnerabilidade (@CyberCrimeNEWS) (CVE-2016-0956)

Revisões

12 de fevereiro de 2016:

  • Foi adicionado “e versões anteriores” para esclarecer que CVE-2016-0956 afeta o Apache Sling Servlets Post 2.3.6 e as versões anteriores.  
  • Modificou a descrição do CVE-2016-0955 para clarificar que somente a versão 6.1.0 é afetada. As versões anteriores ao AEM 6.1.0 não são afetadas pelo CVE -2016-0955.  
  • A seção Detalhes de vulnerabilidade foi reformatada em um formato tabular e incluiu URLs para pacotes de downloads para cada correção.