Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB20-72

ID bulletinu

Datum zveřejnění

Priorita

APSB20-72

8. prosince 2020 

2

Shrnutí

Společnost Adobe zveřejnila aktualizace aplikace Adobe Experience Manager (AEM) a balíčku doplňků AEM Forms. Tyto aktualizace řeší chyby zabezpečení označené jakodůležitékritické.


Dotčené verze produktu

Produkt Verze Platforma

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Vše
6.5.6.0 a starší verze
Vše
6.4.8.2 a starší verze
Vše 
6.3.3.8 a starší verze
Vše 
6.2 SP1-CFP20 a starší verze 
Vše 
Doplněk AEM Forms 
Balíček doplňku AEM Forms Service Pack 6 pro aplikaci AEM 6.5.6.0 
Vše 
Balíček doplňku AEM Forms pro aplikaci AEM 6.4 s aktualizací Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt

Verze

Platforma

Priorita

Dostupnost

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Vše 2 Poznámky k verzi

6.5.7.0 

Vše

2

AEM 6.5 Service Pack – Poznámky k verzi   

6.4.8.3

Vše

2

Kumulativní sada oprav AEM 6.4 – Poznámky k verzi   

 

Doplněk AEM Forms

AEM Forms Service Pack 7
Vše
2
Verze aplikace AEM Forms 
AEM 6.4 Service Pack 8 CFP 3
Vše 2 Verze aplikace AEM Forms
Poznámka:

Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.  

Poznámka:

Adobe Experience Manager 6.5.7.0 je důležitá aplikace, která obsahuje nové funkce, klíčová vylepšení vyžadovaná zákazníky a vylepšení výkonu, stability a zabezpečení vydaná od obecného zpřístupnění verze 6.5 v dubnu 2019.  Lze ji nainstalovat přes instalaci aplikace Adobe Experience Manager 6.5.

Poznámka:

Kumulativní sada oprav AEM 6.4.8.3 je důležitá aktualizace, která obsahuje několik interních a zákaznických oprav od obecného zpřístupnění aktualizace AEM 6.4 Service Pack 8 (6.4.8.0) v březnu 2020. Kumulativní sada oprav AEM 6.4.8.3 je závislá na aktualizaci AEM 6.4 Service Pack 8. Proto je nutné nainstalovat kumulativní sadu oprav AEM 6.4.8.3 až po instalaci aktualizace AEM 6.4 Service Pack 8.

Poznámka:

O pomoc s verzemi aplikace AEM 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Číslo CVE 

Postižené verze

Slepé útoky (Server-Side Request Forgery)

Poskytnutí citlivých informací

Důležitá

CVE-2020-24444

Doplněk AEM Forms SP6 pro aplikaci AEM 6.5.6.0 a starší verze

Balíček doplňku AEM Forms pro aplikaci AEM 6.4 s aktualizací Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) a starší

Cross-site scripting (uložený)

Samovolné spuštění JavaScriptu v prohlížeči

Kritická

CVE-2020-24445

AEM CS

AEM 6.5.6.0 a starší

Aktualizace závislostí

Závislost
Dopad chyby zabezpečení
Postižené verze
Apache Abdera
Využití prostředků

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Apache Batik
Útoky (Server-Side Request Forgery)

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Apache Commons Compress
Využití prostředků

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Apache OpenNLP
Vkládání externích entit XML (XXE)

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Služba Apache Sling Scheduler Service
Vkládání externích entit XML (XXE)

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Apache Xerces2
Využití prostředků

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

CKEditor
Samovolné spuštění JavaScriptu v prohlížeči

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Eclipse Jetty
Využití prostředků

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Google-oauth-client
Nesprávná autorizace

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Handlebars.js
Znečištění prototypu

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Jackson Mapper
Vkládání externích entit XML (XXE)

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

jQuery
Samovolné spuštění JavaScriptu v prohlížeči

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Spring Framework
Překročení adresáře

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Zip4j
Překročení adresáře

AEM CS

AEM 6.5.6.0 a starší

AEM 6.4.8.2 a starší

AEM 6.3.3.8 a starší

Poděkování

Společnost Adobe by chtěla poděkovat Frankovi Karlstrømovi and Kennymu Janssononovi z norské společnosti Storebrand Group (CVE-2020-24444) za spolupráci na ochraně jejích zákazníků.

Revize

13. ledna 2021: Odebrány verze aplikace AEM 6.4.8.2 a 6.3.3.8 ze seznamu verzí postižených chybou CVE-2020-24445.  

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online