Adobe-Sicherheitsbulletin

Sicherheitsupdates für Adobe Experience Manager verfügbar | APSB19-48

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB19-48

15. Oktober 2019

2

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Experience Manager (AEM) veröffentlicht. Durch diese Updates werden mehrere Schwachstellen in den AEM-Versionen 6.3, 6.4 und 6.5 behoben. Wenn diese erfolgreich ausgenutzt werden, können sie zu einem nicht autorisierten Zugriff auf die AEM-Umgebung führen.

Betroffene Produktversionen

Produkt

Version

Plattform

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt

Version

Plattform

Priorität

Verfügbarkeit

 

Adobe Experience Manager

6.5

Alle

2

Versionen und Updates

6.4

Alle

2

Versionen und Updates

6.3

Alle

2

Versionen und Updates

Bitte wenden Sie sich für Hilfe mit früheren AEM-Versionen an die Adobe Kundenunterstützung.

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVE-Nummer 

Betroffene Versionen Download-Paket
Cross-Site Request Forgery Offenlegung vertraulicher Informationen Wichtig

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Reflektiertes Cross-Site-Scripting

Offenlegung vertraulicher Informationen

 

Mittel CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Gespeichertes Cross-Site-Scripting Offenlegung vertraulicher Informationen Wichtig CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.4.0

Gespeichertes Cross-Site-Scripting Berechtigungsausweitung Wichtig 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Umgehung der Authentifizierung

 

 

Offenlegung vertraulicher Informationen Wichtig CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Service Pack für 6.5 – AEM-6.5.2.0 

Einfügung externer XML-Entitäten

Offenlegung vertraulicher Informationen

 

Wichtig CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Cross-Site-Scripting

Offenlegung vertraulicher Informationen

 

Mittel

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Service Pack für 6.5 – AEM-6.5.2.0 

Reflektiertes Cross-Site-Scripting

Offenlegung vertraulicher Informationen

 

 

Mittel

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.5.0

Service Pack für 6.5 – AEM-6.5.2.0 

Reflektiertes Cross-Site-Scripting

 

 

Offenlegung vertraulicher Informationen

 

 

Mittel

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.5.0

Service Pack für 6.5 – AEM-6.5.2.0 

Einfügung externer XML-Entitäten

 

 

Offenlegung vertraulicher Informationen

 

 

Wichtig

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Service Pack für 6.5 – AEM-6.5.2.0 

Einfügung externer XML-Entitäten

 

 

Offenlegung vertraulicher Informationen

 

Wichtig

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Service Pack für 6.5 – AEM-6.5.2.0 

Einfügung von JavaScript-Code

 

 

Willkürliche Ausführung von Code

 

 

Kritisch

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6

Service Pack für 6.4 – AEM-6.4.6.0

Service Pack für 6.5 – AEM-6.5.2.0 

Hinweis:

Die Ausführung von JavaScript-Code (CVE-2019-8088) wirkt sich nur auf Version 6.2 aus.  Ab 6.3 wird die streng in der Sandbox gehaltene Rhino-Engine verwendet, um JavaScript auszuführen, wodurch die Auswirkungen von CVE-2019-8088 auf blinde Server-Side Request Forgery(SSRF)-Angriffe und DoS (Denial-of-Service) reduziert werden. 

Hinweis:

Hinweis: Die in der oben aufgeführten Tabelle angegebenen Pakete sind die mindestens erforderlichen Fix Packs zum Schließen der aufgeführten Sicherheitslücke. Weitere Informationen zu den neuesten Versionen finden Sie unter den oben aufgeführten Links zu den Versionshinweisen.

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Überarbeitungen

15. Oktober 2019: Aktualisierte CVE-Identifikation von CVE -2019-8077 zu CVE -2019-8234.

11. März 2020: Es wurde ein Hinweis hinzugefügt, der verdeutlicht, dass die Ausführung von JavaScript-Code (CVE-2019-8088) nur Auswirkungen auf AEM 6.2 hat.  

Adobe-Logo

Bei Ihrem Konto anmelden