ID bulletinu
Naposledy aktualizováno
19. 5. 2021
Aktualizace zabezpečení pro aplikaci Adobe Experience Manager | APSB19-48
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB19-48 |
15. října 2019 |
2 |
Shrnutí
Společnost Adobe zveřejnila aktualizace zabezpečení pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší několik chyb zabezpečení ve verzích AEM 6.3, 6.4 a 6.5. Úspěšné zneužití by mohlo mít za následek neoprávněný přístup k prostředí AEM.
Dotčené verze produktu
|
Produkt |
Verze |
Platforma |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Vše |
2 |
|
6.4 |
Vše |
2 |
||
6.3 |
Vše |
2 |
O pomoc se staršími verzemi AEM můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Číslo CVE |
Postižené verze | Stáhnout balíček |
|---|---|---|---|---|---|
| Padělání žádosti poslané mezi weby | Poskytnutí citlivých informací | Důležité | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Skriptování mezi weby typu Reflected | Poskytnutí citlivých informací
|
Střední | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Skriptování mezi weby typu Stored | Poskytnutí citlivých informací | Důležité | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Skriptování mezi weby typu Stored | Eskalace oprávnění | Důležité | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Obejití ověřování
|
Poskytnutí citlivých informací | Důležité | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativní sada oprav pro verzi 6.3 SP3 – AEM-6.3.3.6 |
| Vkládání externích entit XML | Poskytnutí citlivých informací
|
Důležité | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Skriptování mezi weby | Poskytnutí citlivých informací
|
Střední
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativní sada oprav pro verzi 6.3 SP3 – AEM-6.3.3.6 |
| Skriptování mezi weby typu Reflected | Poskytnutí citlivých informací
|
Střední
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativní sada oprav pro verzi 6.3 SP3 – AEM-6.3.3.6 |
Skriptování mezi weby typu Reflected
|
Poskytnutí citlivých informací
|
Střední
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativní sada oprav pro verzi 6.3 SP3 – AEM-6.3.3.6 |
Vkládání externích entit XML
|
Poskytnutí citlivých informací
|
Důležité
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulativní sada oprav pro verzi 6.3 SP3 – AEM-6.3.3.6 |
Vkládání externích entit XML
|
Poskytnutí citlivých informací
|
Důležité
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativní sada oprav pro verzi 6.3 SP3 – AEM-6.3.3.6 |
Vkládání kódu JavaScript
|
Svévolné spuštění kódu
|
Kritická
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulativní sada oprav pro verzi 6.3 SP3 – AEM-6.3.3.6 |
Poznámka:
Spouštění kódu JavaScript (CVE-2019-8088) se týká jen verze 6.2. Od verze 6.3 se ke spouštění kódu JavaScript používá čistě sandboxové jádro Rhino, což omezuje vliv chyby zabezpečení CVE-2019-8088 na slepé útoky SSRF (Server-Side Request Forgery) a útoky DoS (Denial-of-Service).
Poznámka:
Poznámka: Balíčky uvedené v předchozí tabulce představují nejmenší možné balíčky pro odstranění relevantní chyby zabezpečení. Nejnovější verze naleznete po kliknutí na výše uvedené odkazy s poznámkami k verzi.
Poděkování
Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay ze společnosti T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revize
15. října 2019: aktualizace id u CVE-2019-8077 na CVE-2019-8234.
11. března 2020: Bylo přidáno upozornění na to, že spouštění kódu JavaScript (CVE-2019-8088) se týká jen verze AEM 6.2.
