Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikaci Adobe Experience Manager. Tyto aktualizace řeší chybu zabezpečení spojenou s reflektovaným útokem typu XSS hodnocenou jako středně závažnou na webu HtmlRendererServlet (CVE-2017-3109), chybu zabezpečení způsobující vydání informací (CVE-2017-3111) hodnocenou jako závažnou, při které je za určitých okolností součástí požadavku http GET také důležitý token, a chybu zabezpečení spojenou s útokem XSS (CVE-2017-11296) hodnocenou jako závažnou v rámci Apache Sling Servlets Post 2.3.20.
Poznámka:
HtmlRendererServlet je třeba v produkčním systému zakázat. Další informace naleznete v části Spuštění AEM v režimu produkce.
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
| Produkt | Verze | Platforma | Priorita | Dostupnost |
| Adobe Experience Manager |
6.3 |
Vše | 3 | Poznámka k verzi |
| 6.2 | Vše | 3 | Poznámka k verzi |
|
| 6.1 | Vše | 3 | Poznámka k verzi |
|
| 6.0 | Vše | 3 | Poznámka k verzi |
O pomoc se staršími verzemi AEM můžete požádat péči o zákazníky společnosti Adobe.
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Čísla CVE | Postižené verze | Stáhnout balíček |
| Reflektovaný útok XSS | Poskytování informací |
Střední |
CVE-2017-3109 |
AEM 6.3 a starší | Oprava hotfix 17136 pro verzi 6.0.0 Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP9 |
| Důležitý token v rámci požadavku HTTP GET | Poskytování informací | Důležitá | CVE-2017-3111 |
AEM 6.1, AEM 6.2 | Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP12 Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP2 |
| Cross-site scripting (XSS) |
Poskytování informací | Důležitá | CVE-2017-11296 | AEM 6.3 a starší | Oprava hotfix 18963 pro verzi 6.0.0 Kumulativní sada oprav pro verzi 6.1 SP2 – AEM-6.1-SP2-CFP12 Kumulativní sada oprav pro verzi 6.2 SP1 – AEM-6.2-SP1-CFP6 Kumulativní sada oprav pro verzi AEM-CFP-6.3.0.2
|
Poznámka:
Balíčky uvedené v předchozí tabulce představují nejmenší možné balíčky pro odstranění chyby v zabezpečení. Nejnovější verze naleznete po kliknutí na výše uvedené odkazy s poznámkami k verzi.
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
- Nagamarimuthu ze společnosti Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)