ID bulletinu
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB20-72
|
Datum zveřejnění |
Priorita |
---|---|---|
APSB20-72 |
8. prosince 2020 |
2 |
Shrnutí
Dotčené verze produktu
Produkt | Verze | Platforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše |
6.5.6.0 a starší verze |
Vše |
|
6.4.8.2 a starší verze |
Vše |
|
6.3.3.8 a starší verze |
Vše |
|
6.2 SP1-CFP20 a starší verze |
Vše |
|
Doplněk AEM Forms |
Balíček doplňku AEM Forms Service Pack 6 pro aplikaci AEM 6.5.6.0 |
Vše |
Balíček doplňku AEM Forms pro aplikaci AEM 6.4 s aktualizací Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše | 2 | Poznámky k verzi |
6.5.7.0 |
Vše |
2 |
AEM 6.5 Service Pack – Poznámky k verzi |
|
6.4.8.3 |
Vše |
2 |
||
Doplněk AEM Forms |
AEM Forms Service Pack 7 |
Vše |
2 |
Verze aplikace AEM Forms |
AEM 6.4 Service Pack 8 CFP 3 |
Vše | 2 | Verze aplikace AEM Forms |
Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.
Adobe Experience Manager 6.5.7.0 je důležitá aplikace, která obsahuje nové funkce, klíčová vylepšení vyžadovaná zákazníky a vylepšení výkonu, stability a zabezpečení vydaná od obecného zpřístupnění verze 6.5 v dubnu 2019. Lze ji nainstalovat přes instalaci aplikace Adobe Experience Manager 6.5.
Kumulativní sada oprav AEM 6.4.8.3 je důležitá aktualizace, která obsahuje několik interních a zákaznických oprav od obecného zpřístupnění aktualizace AEM 6.4 Service Pack 8 (6.4.8.0) v březnu 2020. Kumulativní sada oprav AEM 6.4.8.3 je závislá na aktualizaci AEM 6.4 Service Pack 8. Proto je nutné nainstalovat kumulativní sadu oprav AEM 6.4.8.3 až po instalaci aktualizace AEM 6.4 Service Pack 8.
O pomoc s verzemi aplikace AEM 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Číslo CVE |
Postižené verze |
---|---|---|---|---|
Slepé útoky (Server-Side Request Forgery) |
Poskytnutí citlivých informací |
Důležitá |
CVE-2020-24444 |
Doplněk AEM Forms SP6 pro aplikaci AEM 6.5.6.0 a starší verze Balíček doplňku AEM Forms pro aplikaci AEM 6.4 s aktualizací Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) a starší |
Cross-site scripting (uložený) |
Samovolné spuštění JavaScriptu v prohlížeči |
Kritická |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 a starší |
Aktualizace závislostí
Závislost |
Dopad chyby zabezpečení |
Postižené verze |
Apache Abdera |
Využití prostředků |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Apache Batik |
Útoky (Server-Side Request Forgery) |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Apache Commons Compress |
Využití prostředků |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Apache OpenNLP |
Vkládání externích entit XML (XXE) |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Služba Apache Sling Scheduler Service |
Vkládání externích entit XML (XXE) |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Apache Xerces2 |
Využití prostředků |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
CKEditor |
Samovolné spuštění JavaScriptu v prohlížeči |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Eclipse Jetty |
Využití prostředků |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Google-oauth-client |
Nesprávná autorizace |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Handlebars.js |
Znečištění prototypu |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Jackson Mapper |
Vkládání externích entit XML (XXE) |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
jQuery |
Samovolné spuštění JavaScriptu v prohlížeči |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Spring Framework |
Překročení adresáře |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Zip4j |
Překročení adresáře |
AEM CS AEM 6.5.6.0 a starší AEM 6.4.8.2 a starší AEM 6.3.3.8 a starší |
Poděkování
Společnost Adobe by chtěla poděkovat Frankovi Karlstrømovi and Kennymu Janssononovi z norské společnosti Storebrand Group (CVE-2020-24444) za spolupráci na ochraně jejích zákazníků.
Revize
13. ledna 2021: Odebrány verze aplikace AEM 6.4.8.2 a 6.3.3.8 ze seznamu verzí postižených chybou CVE-2020-24445.