Aktualizace zabezpečení pro aplikaci Adobe Experience Manager

Datum vydání: 9. února 2016

Poslední aktualizace: 12. února 2016

Identifikátor chyby zabezpečení: APSB16-05

Priorita: 2

Číslo CVE: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Platforma: Windows, Unix, Linux a OS X

Shrnutí

Společnost Adobe zveřejnila bezpečnostní opravy hotfix pro aplikaci Adobe Experience Manager. Tyto opravy hotfix řeší důležité chyby zabezpečení, které mohly vést k odkrývání informací.  

Postižené verze

Produkt Postižené verze Platforma
  6.1.0 Windows, Unix, Linux a OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux a OS X
  5.6.1 Windows, Unix, Linux a OS X

Řešení

Společnost Adobe svým zákazníkům, kteří používají metodu místního nasazení, doporučuje nainstalovat níže uvedené dostupné opravy hotfix.  Zákazníci by také měli zkontrolovat a provést kroky popsané v bezpečnostních kontrolních seznamech pro verze 6.1, 6.0 nebo 5.6.1.

Produkt Verze Hodnocení priority Dostupnost
  6.1.0
2 Opravy hotfix (6.1.0)
Adobe Experience Manager 6.0.0 2 Opravy hotfix (6.0)
  5.6.1 2 Opravy hotfix (5.6.1)

Více informací o dostupných opravách hotfix najdete na stránce nápovědy k aplikaci Adobe Experience Manager.  

Podrobnosti o chybě zabezpečení

Popis CVE Stáhnout balíček
  • Oprava hotfix 8364 obsahuje agenta k řešení potíží s deserializací v jazyce Java
CVE-2016-0958

Opravy hotfix pro 6.1
Opravy hotfix pro 6.0
Opravy hotfix pro 5.6.1

  • Oprava hotfix 8651 řeší chybu v zabezpečení před zrcadlovým útokem typu XSS - postihuje výlučně verzi 6.1.0 - která může vést k odhalení informací
CVE-2016-0955

Opravy hotfix pro 6.1

  • Oprava hotfix 6445 řeší chybu v zabezpečení před odhalením informací a postihuje Apache Sling Servlets Post 2.3.6 a starší verze
CVE-2016-0956

Opravy hotfix pro 6.1
Opravy hotfix pro 6.0
Opravy hotfix pro 5.6.1

  • Dispatcher 4.1.5 a vyšší řeší chybu zabezpečení týkající se vynechání filtru adres URL, která mohla být využita k obejití pravidel aplikace Dispatcher
CVE-2016-0957 Dispatcher

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:

  • Damian Pfammatter ze společnosti Compass Security Schweiz AG (CVE-2016-0955)
  • Ateeq ur Rehman Khan – Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

Verze

12. února 2016:

  • Bylo přidáno ƒ„a starší verze“ pro objasnění, že CVE-2016-0956 postihuje Apache Sling Servlets Post 2.3.6 a starší verze.
  • Popis CVE-2016-0955 byl modifikován pro objasnění, že je postižená výlučně verze 6.1.0. Verze předcházející AEM 6.1.0 CVE-2016-0955 postiženy nejsou.
  • Sekce podrobnosti o chybě zabezpečení byla nově naformátována a byly přidány odkazy ke stažení jednotlivých oprav hotfix.