Bezpečnostní bulletin společnosti Adobe

Hledat

Naposledy aktualizováno 5. 11. 2021

Aktualizace zabezpečení pro aplikaci Adobe Experience Manager | APSB21-82

ID bulletinu	Datum zveřejnění	Priorita
APSB21-82	14. září 2021	2

Shrnutí

Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení označené jakodůležité a kritické.  Úspěšné zneužití těchto chyb může vést ke svévolnému spuštění kódu.

Dotčené verze produktu

Produkt	Verze	Platforma
Adobe Experience Manager (AEM)	AEM Cloud Service (CS)	Vše
6.5.9.0 a starší verze	Vše

Produkt

Verze

Platforma

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)

Vše

6.5.9.0 a starší verze

Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt	Verze	Platforma	Priorita	Dostupnost
Adobe Experience Manager (AEM)	AEM Cloud Service (CS)	Vše	2	Poznámky k verzi
6.5.10.0	Vše	2	AEM 6.5 Service Pack – poznámky k verzi

Produkt

Verze

Platforma

Priorita

Dostupnost

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)

Vše

Poznámky k verzi

6.5.10.0

Vše

AEM 6.5 Service Pack – poznámky k verzi

Poznámka:

Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.

Poznámka:

O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Základní hodnocení CVSS	Vektor CVSS	Číslo CVE
Používání skriptů napříč webem (XSS) (CWE-79)	Svévolné spuštění kódu	Důležitá	6.3	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N	CVE-2021-40711
Nesprávné ověření vstupu (CWE-20)	Útoky DoS na aplikace	Důležitá	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H	CVE-2021-40712
Nesprávné ověření certifikace (CWE-295)	Obcházení bezpečnostních funkcí	Důležitá	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N	CVE-2021-40713
Používání skriptů napříč webem (XSS) (CWE-79)	Svévolné spuštění kódu	Důležitá	6.4	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N	CVE-2021-40714
Nesprávné řízení přístupu (CWE-284)	Obcházení bezpečnostních funkcí	Důležitá	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N	CVE-2021-42725

Aktualizace závislostí

Závislost	Dopad chyby zabezpečení	Postižené verze
Iodash	Svévolné spuštění kódu	AEM CS  AEM 6.5.9.0 a starší
Apache Sling	Průchod cestou	AEM CS  AEM 6.5.9.0 a starší
Jetty	Odmítnutí služeb	AEM CS  AEM 6.5.9.0 a starší
Jackson-Databind	Nekontrolované vyhrazení bajtového zásobníku	AEM CS  AEM 6.5.9.0 a starší

Poděkování

Společnost Adobe by ráda poděkovala Lorenzovi Pirondinimu (Netcentric, Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) a Eckbert Andresen (CVE-2021-42725) za spolupráci při ochraně našich zákazníků následujícím osobám.

Revize

27. září 2021: Byly aktualizovány informace o poděkování za spolupráci při řešení chyb zabezpečení CVE-2021-40711 a CVE-2021-40712.

4. října 2021: Bylo aktualizováno základní hodnocení, vektor a závažnost CVSS pro chybu zabezpečení CVE-2021-40711.

28. října 2021: Byla přidány podrobnosti o chybě zabezpečení CVE-2021-42725.

Další informace najdete na adrese https://helpx.adobe.com/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

Získejte pomoc rychleji a snáze

Nový uživatel?