可用于 Adobe Experience Manager 的安全更新

发布日期:2016 年 12 月 13 日

上次更新日期:2016 年 12 月 14 日

漏洞标识符:APSB16-42

优先级:2

CVE 编号:CVE-2016-7882、CVE-2016-7883、CVE-2016-7884、CVE-2016-7885

平台:全部

摘要

Adobe 已发布了 Adobe Experience Manager 安全更新。这些更新解决了三个可用于进行跨站点脚本攻击的重要的输入验证问题(CVE-2016-7882、CVE-2016-7883 和 CVE-2016-7884),并包含一个用于保护用户避免重要的跨站点请求伪造漏洞 (CVE-2016-7885) 的更新。

受影响的版本

产品 受影响的版本 平台
  6.2 全部
Adobe Experience Manager 6.1 全部
  6.0 全部

解决方案

Adobe 建议具有内部部署的客户安装下方引用的可用更新。此外,客户应该查看并执行适合 6.26.16.0 版本的安全列表中所述的步骤。

产品 版本 优先级 获取途径
  6.2
2 发行说明
Adobe Experience Manager 6.1 2 发行说明
  6.0 2 发行说明

请联系 Adobe 客户关怀团队,以获取有关早期 AEM 版本的帮助。

漏洞详情

描述 CVE 受影响的版本 下载包

这些更新解决了 WCMDebug 过滤器中可用于进行跨站点脚本攻击的重要输入验证问题。

CVE-2016-7882
6.2 及更早版本 适用于 6.2 的修补程序 12444
适用于 6.1 SP2 的修补程序 12444 [0]
适用于 6.0 SP3 的修补程序 12444

这些更新解决了创建启动向导过程中可用于进行跨站点脚本攻击的重要输入验证问题。

CVE-2016-7883
6.2 适用于 6.2 的修补程序 13062

这些更新解决了 DAM 创建资产中可用于进行跨站点脚本攻击的重要输入验证问题。

CVE-2016-7884
6.1 及更早版本 适用于 6.1 SP2 的累积修复包
适用于 6.0 SP3 的修补程序 13297

Jackrabbit 组件中的更新可保护用户避免跨站点请求伪造漏洞。

CVE-2016-7885 6.2 及更早版本 适用于 6.2 的修补程序 13547
适用于 6.1 的修补程序 12817
适用于 6.0 的修补程序 12846

[0] 注意:适用于 6.1 SP2 的修补程序 12444 包含在 AEM 6.1 SP2 CFP2 中。

鸣谢

Adobe 衷心感谢 Daniel Hamid 报告 CVE-2016-7882,并与 Adobe 一起帮助保护我们的客户。CVE-2016-7883、CVE-2016-7884 和 CVE-2016-7885 为匿名报告。

修订

2016 年 12 月 14 日:已将受影响的平台更改为“所有”(以前为 Windows、Unix、Linux 和 OS X)。另外还包含一个注意事项,说明修补程序 12444 以前是 AEM 6.1 SP2 CFP2 附带的。