Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB17-41
ID do boletim Data de publicação Prioridade
APSB17-41 14 de novembro de 2017
3

Resumo

A Adobe lançou atualizações de segurança para o Adobe Experience Manager. Essas atualizações resolvem vulnerabilidade de script refletido entre sites classificada como moderada no HtmlRendererServlet (CVE-2017-3109), uma vulnerabilidade de divulgação de informações (CVE-2017-3111) classificada como importante, na qual um token sensível é incluído em uma solicitação http GET em determinadas circunstâncias, e uma vulnerabilidade de script entre sites (CVE-2017-11296) no Apache Sling Servlets Post 2.3.20 classificada como importante

Versões do produto afetado

Produto Versão Plataforma
Adobe Experience Manager

6,3

6.2

6.1

6.0

Todos

Observação:

O HtmlRendererServlet deve estar desativado nos sistemas de produção. Consulte Running AEM in Production Ready Mode para obter mais detalhes. 

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto Versão Plataforma Prioridade Disponibilidade
Adobe Experience Manager
6.3
Todos 3 Nota de versão
6.2 Todos 3 Nota de versão
6.1 Todos 3 Nota de versão
6.0 Todos 3 Nota de versão

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões mais antigas AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Números CVE Versão afetada Pacote de download
Script refletido entre sites Divulgação de informações
Moderado
CVE-2017-3109
AEM 6.3 e anteriores

Hotfix 17136 para 6.0.0

Pacote de correção cumulativo para 6.1 SP2 - AEM-6.1-SP2-CFP9

Pacote de correção cumulativo para 6.2 SP1 - AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Token sensível em solicitação HTTP GET Divulgação de informações Importante CVE-2017-3111
AEM 6.1, AEM 6.2 Pacote de correção cumulativo para 6.1 SP2 - AEM-6.1-SP2-CFP12 
 
Pacote de correção cumulativo para 6.2 SP1 - AEM-6.2-SP1-CFP2
Script refletido entre sites
Divulgação de informações Importante CVE-2017-11296 AEM 6.3 e anteriores

Hotfix 18963 para 6.0.0

Pacote de correção cumulativo para 6.1 SP2 - AEM-6.1-SP2-CFP12

Pacote de correção cumulativo para 6.2 SP1 - AEM-6.2-SP1-CFP6

Pacote de correção cumulativo para AEM-CFP-6.3.0.2

 

Observação:

Os pacotes listados na tabela acima são os pacotes de correção mínimos para lidar com a vulnerabilidade listada.  Para as versões mais recentes, consulte os links das notas de versão mencionados acima.

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:  

  • Nagamarimuthu da Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)