Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB20-72

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB20-72

8. Dezember 2020 

2

Zusammenfassung

Adobe hat Updates für Adobe Experience Manager (AEM) und das AEM Forms-Add-on-Paket veröffentlicht. Diese Updates schließen Schwachstellen, die als kritisch und wichtig eingestuft wurden.


Betroffene Produktversionen

Produkt Version Plattform

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.6.0 und frühere Versionen
Alle
6.4.8.2 und frühere Versionen
Alle 
6.3.3.8 und frühere Versionen
Alle 
6.2 SP1-CFP20 und frühere Versionen 
Alle 
AEM Forms-Add-on 
AEM Forms Service Pack 6 – Add-On-Paket für AEM 6.5.6.0 
Alle 
AEM Forms Add-On-Paket für AEM 6.4 Service Pack 8 – kumulatives Fixpack 2 (6.4.8.2)
Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt

Version

Plattform

Priorität

Verfügbarkeit

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Alle 2 Versionshinweise

6.5.7.0 

Alle

2

AEM 6.5 Service Pack – Versionshinweise   

6.4.8.3

Alle

2

AEM 6.4 Cumulative Fix Pack – Versionshinweise  

 

AEM Forms-Add-on

AEM Forms Service Pack 7
Alle
2
AEM Forms-Versionen 
AEM 6.4 Service Pack 8 CFP 3
Alle 2 AEM Forms-Versionen
Hinweis:

Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.  

Hinweis:

Adobe Experience Manager 6.5.7.0 ist ein wichtiges Update, das neue Funktionen, wichtige von Kunden angeforderte Verbesserungen sowie Leistungs-, Stabilitäts- und Sicherheitsverbesserungen umfasst, die seit der allgemeinen Verfügbarkeit der Version 6.5 im April 2019 veröffentlicht wurden.  Es kann auf Adobe Experience Manager 6.5 installiert werden.

Hinweis:

AEM Cumulative Fix Pack 6.4.8.3 ist ein wichtiges Update, das seit der allgemeinen Verfügbarkeit von AEM 6.4 Service Pack 8 (6.4.8.0) im März 2020 mehrere interne Korrekturen und Kundenkorrekturen enthält. AEM Cumulative Fix Pack 6.4.8.3 ist von AEM 6.4 Service Pack 8 abhängig. Daher müssen Sie das AEM Cumulative Fix Pack 6.4.8.3-Paket nach der Installation von AEM 6.4 Service Pack 8 installieren.

Hinweis:

Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.3 und 6.2 an die Adobe Kundenunterstützung.

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVE-Nummer 

Betroffene Versionen

Blind Server-side Request Forgery

Offenlegung vertraulicher Informationen

Wichtig

CVE-2020-24444

AEM Forms SP6-Add-on für AEM 6.5.6.0 und früher

AEM Forms Add-On-Paket für AEM 6.4 Service Pack 8 – kumulatives Fixpack 2 (6.4.8.2) und früher

Cross-Site-Scripting (gespeichert)

Willkürliche JavaScript-Ausführung im Browser

Kritisch

CVE-2020-24445

AEM CS

AEM 6.5.6.0 und früher

Updates für Abhängigkeiten

Abhängigkeit
Sicherheitslückenauswirkung
Betroffene Versionen
Apache Abdera
Ressourcenverbrauch

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Apache Batik
Server-seitige Request Forgery

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Apache Commons Compress
Ressourcenverbrauch

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Apache OpenNLP
Einfügung externer XML-Entitäten (XXE)

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Apache Sling-Planungsdienst
Einfügung externer XML-Entitäten (XXE)

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Apache Xerces2
Ressourcenverbrauch

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

CKEditor
Willkürliche JavaScript-Ausführung im Browser

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Eclipse Jetty
Ressourcenverbrauch

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Google-oauth-client
Unzulässige Autorisierung

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Handlebars.js
Verunreinigung durch Prototypen

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Jackson Mapper
Einfügung externer XML-Entitäten (XXE)

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

jQuery
Willkürliche JavaScript-Ausführung im Browser

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Spring Framework
Verzeichnisübergang

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Zip4j
Verzeichnisübergang

AEM CS

AEM 6.5.6.0 und früher

AEM 6.4.8.2 und früher

AEM 6.3.3.8 und früher

Danksagung

Adobe bedankt sich bei Frank Karlstrøm und Kenny Jansson von der Storebrand Group, Norwegen (CVE-2020-24444) für die Zusammenarbeit mit Adobe zum Schutz unserer Kunden.

Überarbeitungen

13. Januar 2021: Die AEM 6.4.8.2 und 6.3.3.8 wurden aus der Liste der von CVE-2020-24445 betroffenen Versionen entfernt.  

Adobe-Logo

Bei Ihrem Konto anmelden

[Feedback V2 Badge]