Sicherheits-Updates für Adobe Experience Manager

Freigabedatum: 9. Februar 2016

Letzte Aktualisierung: 12. Februar 2016

Kennung der Sicherheitslücke: APSB16-05

Priorität: 2

CVE-Nummern: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Plattform: Windows, Unix, Linux und OS X

Zusammenfassung

Adobe hat Sicherheits-Hotfixes für Adobe Experience Manager veröffentlicht. Diese Hotfixes schließen kritische Sicherheitslücken, die zur Offenlegung von Informationen führen können. 

Betroffene Versionen

Produkt Betroffene Versionen Plattform
  6.1.0 Windows, Unix, Linux und OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux und OS X
  5.6.1 Windows, Unix, Linux und OS X

Lösung

Adobe empfiehlt Kunden mit Bereitstellungen vor Ort die Installation der nachfolgend aufgeführten Hotfixes. Darüber hinaus sollten Kunden die in den Sicherheits-Checklisten für Version 6.1, 6.0 bzw. 5.6.1 aufgeführten Schritte überprüfen und gegebenenfalls durchführen.

Produkt Versionen Priorität Verfügbarkeit
  6.1.0
2 Hotfixes (6.1.0)
Adobe Experience Manager 6.0.0 2 Hotfixes (6.0)
  5.6.1 2 Hotfixes (5.6.1)

Weitere Informationen zu den verfügbaren Hotfixes erhalten Sie auch auf der Hilfeseite zu Adobe Experience Manager. 

Sicherheitslückendetails

Beschreibung CVE Download-Paket
  • Hotfix 8364 enthält einen Mitigationsagenten für Java-Deserialisierungsprobleme
CVE-2016-0958

Hotfix für 6.1
Hotfix für 6.0
Hotfix für 5.6.1

  • Hotfix 8651 schließt eine Sicherheitslücke in Verbindung mit Cross-Site-Scripting die ausschließlich Version 6.1.0 betrifft und zur Offenlegung von Informationen führen kann
CVE-2016-0955

Hotfix für 6.1

  • Hotfix 6445 schließt eine Sicherheitslücke in Verbindung mit Apache Sling Servlets Post 2.3.6 und früher, die zur Offenlegung von Informationen führen kann
CVE-2016-0956

Hotfix für 6.1
Hotfix für 6.0
Hotfix für 5.6.1

  • Dispatcher 4.1.5 und höher schließt eine Sicherheitslücke in Verbindung mit der Außerkraftsetzung von URL-Filtern, die zur Umgehung von Dispatcherregeln genutzt werden kann
CVE-2016-0957 Dispatcher

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und ihren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Damian Pfammatter (Compass Security Schweiz AG) (CVE-2016-0955)
  • Ateeq ur Rehman Khan (Vulnerability Labs bei @CyberCrimeNEWS) (CVE-2016-0956)

Historie

12. Februar 2016:

  • Es wurde "und früher" hinzugefügt, um klarzustellen, dass CVE-2016-0956 Apache Sling Servlets Post 2.3.6 und frühere Versionen betrifft.  
  • Die Beschreibung von CVE-2016-0955 wurde bearbeitet, um klarzustellen, dass nur die Version 6.1.0 betroffen ist. Ältere Version als AEM 6.1.0 sind von CVE-2016-0955 nicht betroffen.  
  • Der Abschnitt "Sicherheitslückendetails" wurde neu formatiert (tabellarisch). URLS zum Download der Pakete für jeden Hotfix wurden ergänzt.