Bezpečnostní bulletin společnosti Adobe

Hledat

Naposledy aktualizováno

Aktualizace zabezpečení pro aplikaci Adobe Experience Manager | APSB17-41

ID bulletinu	Datum zveřejnění	Priorita
APSB17-41	14. listopadu 2017	3

Shrnutí

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikaci Adobe Experience Manager. Tyto aktualizace řeší chybu zabezpečení spojenou s reflektovaným útokem typu XSS hodnocenou jako středně závažnou na webu HtmlRendererServlet (CVE-2017-3109), chybu zabezpečení způsobující vydání informací (CVE-2017-3111) hodnocenou jako závažnou, při které je za určitých okolností součástí požadavku http GET také důležitý token, a chybu zabezpečení spojenou s útokem XSS (CVE-2017-11296) hodnocenou jako závažnou v rámci Apache Sling Servlets Post 2.3.20.

Dotčené verze produktu

Produkt	Verze	Platforma
Adobe Experience Manager	6,3 6.2 6.1 6.0	Vše

Poznámka:

HtmlRendererServlet je třeba v produkčním systému zakázat. Další informace naleznete v části Spuštění AEM v režimu produkce.

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt	Verze	Platforma	Priorita	Dostupnost
Adobe Experience Manager	6.3	Vše	3	Poznámka k verzi
	6.2	Vše	3	Poznámka k verzi
	6.1	Vše	3	Poznámka k verzi
	6.0	Vše	3	Poznámka k verzi

O pomoc se staršími verzemi AEM můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Čísla CVE	Postižené verze	Stáhnout balíček
Reflektovaný útok XSS	Poskytování informací	Střední	CVE-2017-3109	AEM 6.3 a starší	Oprava hotfix 17136 pro verzi 6.0.0 Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP9 Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP5 AEM 6.3 Service Pack 1 (6.3.1.0)
Důležitý token v rámci požadavku HTTP GET	Poskytování informací	Důležitá	CVE-2017-3111	AEM 6.1, AEM 6.2	Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP12 Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP2
Cross-site scripting (XSS)	Poskytování informací	Důležitá	CVE-2017-11296	AEM 6.3 a starší	Oprava hotfix 18963 pro verzi 6.0.0 Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP12 Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP6 Kumulativní sada oprav pro verzi AEM-CFP-6.3.0.2

Poznámka:

Balíčky uvedené v předchozí tabulce představují nejmenší možné balíčky pro odstranění chyby v zabezpečení. Nejnovější verze naleznete po kliknutí na výše uvedené odkazy s poznámkami k verzi.

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

Nagamarimuthu ze společnosti Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)

Přihlaste se ke svému účtu.