Aktualizace zabezpečení pro aplikaci Adobe Experience Manager | APSB17-41
ID bulletinu Datum zveřejnění Priorita
APSB17-41 14. listopadu 2017
3

Shrnutí

Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikaci Adobe Experience Manager. Tyto aktualizace řeší chybu zabezpečení spojenou s reflektovaným útokem typu XSS hodnocenou jako středně závažnou na webu HtmlRendererServlet (CVE-2017-3109), chybu zabezpečení způsobující vydání informací (CVE-2017-3111) hodnocenou jako závažnou, při které je za určitých okolností součástí požadavku http GET také důležitý token, a chybu zabezpečení spojenou s útokem XSS (CVE-2017-11296) hodnocenou jako závažnou v rámci Apache Sling Servlets Post 2.3.20. 

Dotčené verze produktu

Produkt Verze Platforma
Adobe Experience Manager

6,3

6.2

6.1

6.0

Vše

Poznámka:

HtmlRendererServlet je třeba v produkčním systému zakázat.  Další informace naleznete v části Spuštění AEM v režimu produkce

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Verze Platforma Priorita Dostupnost
Adobe Experience Manager
6.3
Vše 3 Poznámka k verzi
6.2 Vše 3 Poznámka k verzi
6.1 Vše 3 Poznámka k verzi
6.0 Vše 3 Poznámka k verzi

O pomoc se staršími verzemi AEM můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Čísla CVE Postižené verze Stáhnout balíček
Reflektovaný útok XSS Poskytování informací
Střední
CVE-2017-3109
AEM 6.3 a starší

Oprava hotfix 17136 pro verzi 6.0.0

Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP9

Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Důležitý token v rámci požadavku HTTP GET Poskytování informací Důležitá CVE-2017-3111
AEM 6.1, AEM 6.2 Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP12 
 
Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP2
Cross-site scripting (XSS)
Poskytování informací Důležitá CVE-2017-11296 AEM 6.3 a starší

Oprava hotfix 18963 pro verzi 6.0.0

Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP12

Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP6

Kumulativní sada oprav pro verzi AEM-CFP-6.3.0.2

 

Poznámka:

Balíčky uvedené v předchozí tabulce představují nejmenší možné balíčky pro odstranění chyby v zabezpečení. Nejnovější verze naleznete po kliknutí na výše uvedené odkazy s poznámkami k verzi.

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:  

  • Nagamarimuthu ze společnosti Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)