Aktualizace zabezpečení pro aplikaci Adobe Experience Manager

Datum vydání: 13. prosince 2016

Poslední aktualizace: 14. prosince 2016

Identifikátor chyby zabezpečení: APSB16-42

Priorita: 2

Číslo CVE: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Platforma: Všechny

Shrnutí

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikaci Adobe Experience Manager. Tyto aktualizace řeší tři závažné problémy s ověřováním vstupu, které by bylo možné zneužít v rámci útoků skrze skriptování mezi weby (CVE-2016-7882, CVE-2016-7883 a CVE-2016-7884), a zahrnují aktualizaci na ochranu uživatelů před závažnou chybou zabezpečení spojenou s útokem CSRF (CVE-2016-7885).

Postižené verze

Produkt Postižené verze Platforma
  6.2 Vše
Adobe Experience Manager 6.1 Vše
  6.0 Vše

Řešení

Společnost Adobe svým zákazníkům, kteří používají metodu místního nasazení, doporučuje nainstalovat níže uvedené dostupné aktualizace. Zákazníci by také měli zkontrolovat a provést kroky popsané v bezpečnostních kontrolních seznamech pro verze 6.26.1 a 6.0.

Produkt Verze Hodnocení priority Dostupnost
  6.2
2 Poznámka k verzi
Adobe Experience Manager 6.1 2 Poznámka k verzi
  6.0 2 Poznámka k verzi

O pomoc se staršími verzemi AEM můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Popis CVE Postižené verze Stáhnout balíček

Aktualizace řeší závažný problém s ověřováním vstupu ve filtru WCMDebug, který bylo možné zneužít v rámci útoků skrze skriptování mezi weby.

CVE-2016-7882
6.2 a starší verze Oprava hotfix 12444 pro verzi 6.2
Oprava hotfix 12444 pro verzi 6.1 SP2 [0]
Oprava hotfix 12444 pro verzi 6.0 SP3

Aktualizace řeší závažný problém s ověřováním vstupu v průvodci vytvořením spuštění, který bylo možné zneužít v rámci útoků skrze skriptování mezi weby.

CVE-2016-7883
6.2 Oprava hotfix 13062 pro verzi 6.2

Aktualizace řeší závažný problém s ověřováním vstupu v prostředcích k vytvoření DAM, který bylo možné zneužít v rámci útoků skrze skriptování mezi weby.

CVE-2016-7884
6.1 a starší verze Balíček kumulativních oprav pro verzi 6.1 SP2
Oprava hotfix 13297 pro verzi 6.0 SP3

Aktualizace v komponentě Jackrabbit na ochranu uživatelů před útoky typu CSRF.

CVE-2016-7885 6.2 a starší verze Oprava hotfix 13547 pro verzi 6.2
Oprava hotfix 12817 pro verzi 6.1
Oprava hotfix 12846 pro verzi 6.0

[0] Poznámka: Oprava hotfix 12444 pro verzi 6.1 SP2 je součástí aktualizace AEM 6.1 SP2 CFP2.

Poděkování

Společnost Adobe by ráda poděkovala Danielovi Hamidovi za nahlášení chyby CVE-2016-7882 a za spolupráci při ochraně bezpečnosti našich zákazníků.  CVE-2016-7883, CVE-2016-7884 a CVE-2016-7885 byly nahlášeny anonymně.

Verze

14. prosince 2016: oprava seznamu postižených platforem na „Všechny“ (dříve pouze systém Windows, Unix, Linux a OS X). 12444] Poznámka: Oprava hotfix 6 pro verzi 1.2 SP2 je součástí aktualizace AEM SP CFP.