ID bollettino
Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB17-41
|
Data di pubblicazione |
Priorità |
---|---|---|
APSB17-41 |
14 novembre 2017 |
3 |
Riepilogo
Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Experience Manager. Questi aggiornamenti risolvono una vunerabilità moderatadi cross-site scripting riflesso in HtmlRendererServlet (CVE-2017-3109), una vulnerabilità importante di divulgazione delle informazioni (CVE-2017-3111) per cui viene incluso un token riservato in una richiesta HTTP GET in determinate circostante e una vulnerabilità importante di cross-site scripting (CVE-2017-11296) in Apache Sling Servlets Post 2.3.20.
Versioni del prodotto interessate
Prodotto |
Versione |
Piattaforma |
---|---|---|
Adobe Experience Manager |
6,3 6.2 6.1 6.0 |
Tutte |
HtmlRendererServlet deve essere disattivato nei sistemi di produzione.Per ulteriori informazioni, è possibile consultare la pagina Running AEM in Production Ready Mode (Esecuzione di AEM in modalità pronta per la produzione).
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto | Versione | Piattaforma | Priorità | Disponibilità |
---|---|---|---|---|
Adobe Experience Manager |
6.3 |
Tutte | 3 | Nota di rilascio |
6.2 | Tutte | 3 | Nota di rilascio |
|
6.1 | Tutte | 3 | Nota di rilascio |
|
6.0 | Tutte | 3 | Nota di rilascio |
Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.
Dettagli della vulnerabilità
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Codici CVE |
Versione interessata |
Pacchetto di download |
---|---|---|---|---|---|
Cross-site scripting riflesso |
Divulgazione di informazioni |
Moderato |
CVE-2017-3109 |
AEM 6.3 e versioni precedenti |
|
Token riservato nella richiesta HTTP GET |
Divulgazione di informazioni |
Importante |
CVE-2017-3111 |
AEM 6.1, AEM 6.2 |
|
Cross-site scripting |
Divulgazione di informazioni |
Importante |
CVE-2017-11296 |
AEM 6.3 e versioni precedenti |
I pacchetti elencati nella tabella sopra rappresentano i pacchetti di correzione minimi necessari per risolvere la vulnerabilità riportata. Per le versioni più recenti, è possibile consultare i collegamenti delle note sulla versione riportati sopra.
Ringraziamenti
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Nagamarimuthu di Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)