Bezpečnostní bulletin společnosti Adobe

Aktualizace zabezpečení pro aplikaci Adobe Experience Manager | APSB21-82

ID bulletinu

Datum zveřejnění

Priorita

APSB21-82

14. září 2021 

2

Shrnutí

Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení označené jakodůležitékritické.  Úspěšné zneužití těchto chyb může vést ke svévolnému spuštění kódu. 

Dotčené verze produktu

Produkt Verze Platforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Vše
6.5.9.0 a starší verze 
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt

Verze

Platforma

Priorita

Dostupnost

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Vše 2 Poznámky k verzi

6.5.10.0 

Vše

2

AEM 6.5 Service Pack – poznámky k verzi   
Poznámka:

Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.  

Poznámka:

O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Číslo CVE 

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

Nesprávné ověření vstupu (CWE-20)

Útoky DoS na aplikace

Důležitá

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

Nesprávné ověření certifikace (CWE-295)

Obcházení bezpečnostních funkcí

Důležitá

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

Nesprávné řízení přístupu (CWE-284)

Obcházení bezpečnostních funkcí

Důležitá

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

Aktualizace závislostí

Závislost
Dopad chyby zabezpečení
Postižené verze
Iodash
Svévolné spuštění kódu

AEM CS  

AEM 6.5.9.0 a starší 

Apache Sling Průchod cestou

AEM CS  

AEM 6.5.9.0 a starší 

Jetty
Odmítnutí služeb

AEM CS  

AEM 6.5.9.0 a starší 

Jackson-Databind
Nekontrolované vyhrazení bajtového zásobníku

AEM CS   

AEM 6.5.9.0 a starší  

Poděkování

Společnost Adobe by ráda poděkovala Lorenzovi Pirondinimu (Netcentric, Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) a Eckbert Andresen (CVE-2021-42725) za spolupráci při ochraně našich zákazníků následujícím osobám.

Revize

27. září 2021: Byly aktualizovány informace o poděkování za spolupráci při řešení chyb zabezpečení CVE-2021-40711 a CVE-2021-40712.

4. října 2021: Bylo aktualizováno základní hodnocení, vektor a závažnost CVSS pro chybu zabezpečení CVE-2021-40711.

28. října 2021: Byla přidány podrobnosti o chybě zabezpečení CVE-2021-42725.


Další informace najdete na adrese https://helpx.adobe.com/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online