Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager Forms

Datum vydání: 13. prosince 2016

Identifikátor chyby zabezpečení: APSB16-40

Priorita: 3

Číslo CVE: CVE-2016-6933, CVE-2016-6934

Platforma: Windows, Linux, Solaris a AIX

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Experience Manager (AEM) Forms pro systém Windows, Linux, Solaris a AIX. Tyto aktualizace řeší dva závažné problémy s ověřováním vstupu, které mohly být zneužity při útocích skrze skriptování mezi weby (CVE-2016-6933 a CVE-2016-6934). Společnost Adobe doporučuje uživatelům, aby si nainstalovali vydané aktualizace dle pokynů uvedených níže v části „Řešení“. 

Poznámka: V roce 2015 se aplikace AEM Forms stala nástupcem aplikace Adobe LiveCycle.  

Postižené verze

Produkt Postižené verze Platforma
Adobe Experience Manager Forms

6.2
6.1
6.0

Windows, Linux, Solaris a AIX
LiveCycle

11.0.1
10.0.4

Windows, Linux, Solaris a AIX

Řešení

Společnost Adobe tyto aktualizace označuje následujícími hodnoceními priority a doporučuje zákazníkům s místním nasazením nainstalovat dostupné aktualizace uvedené níže s pomocí týmu péče o zákazníky pro řešení Adobe Marketing Cloud.

Produkt Opravená verze Platforma Hodnocení priority
Adobe Experience Manager Forms 6.2 AEMForms-6.2.0-0002 Windows, Linux, Solaris a AIX
3
Adobe Experience Manager Forms 6.1 6.1.0-COR-1064-012
6.1.0-PRM-1065-020
Windows, Linux, Solaris a AIX 3
Adobe Experience Manager Forms 6.0 6.0.0-COR-1042-015
6.0.0-PRM-1043-020
Windows, Linux, Solaris a AIX 3
LiveCycle 11.0.1 11.0.1-COR-1155-044
11.0.1-PRM-1161-017
Windows, Linux, Solaris a AIX
3
LiveCycle 10.0.4 10.0.4-COR-1064-025
10.0.4-PRM-1065-007
Windows, Linux, Solaris a AIX
3

Podrobnosti o chybě zabezpečení

Popis CVE Opravená verze
Aktualizace řeší závažný problém s ověřováním vstupu v komponentě AAC, který bylo možné zneužít v rámci útoků skrze skriptování mezi weby.
CVE-2016-6933  AEMForms-6.2.0-0002
6.1.0-COR-1064-012
6.0.0-COR-1042-015
11.0.1-COR-1155-044
10.0.4-COR-1064-025

Aktualizace řeší závažný problém s ověřováním vstupu v modulu PMAdmin, který bylo možné zneužít v rámci útoků skrze skriptování mezi weby.
CVE-2016-6934 AEMForms-6.2.0-0002
6.1.0-PRM-1065-020
6.0.0-PRM-1043-020
11.0.1-PRM-1161-017
10.0.4-PRM-1065-007

Poděkování

Společnost Adobe by ráda poděkovala Adamovi Willardovi ze společnosti Blue Canopy za nahlášení těchto chyb (CVE-2016-6933 a CVE-2016-6934) a za spolupráci se společností Adobe při ochraně jejích zákazníků.