Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB17-41
Bulletin-ID Veröffentlichungsdatum Priorität
APSB17-41 14. November 2017
3

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Experience Manager veröffentlicht. Diese Updates schließen eine als moderat eingestufte Sicherheitslücke beim reflektierten Cross-Site-Scripting im HtmlRendererServlet (CVE-2017-3109), eine als wichtig eingestufte Sicherheitslücke (CVE-2017-3111), bei der Informationen offengelegt werden könnten, da ein vertrauliches Token unter bestimmten Umständen in einer HTTP GET-Anforderung enthalten ist, und eine als wichtig eingestufte Sicherheitslücke (CVE-2017-11296) beim Cross-Site-Scripting in Apache Sling Servlets Post 2.3.20. 

Betroffene Produktversionen

Produkt Version Plattform
Adobe Experience Manager

6,3

6.2

6.1

6.0

Alle

Hinweis:

Das HtmlRendererServlet sollte in Produktionssystemen deaktiviert werden.  Weitere Details finden Sie im Artikel zum Ausführen von AEM im Produktionsmodus

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Version Plattform Priorität Verfügbarkeit
Adobe Experience Manager
6.3
Alle 3 Versionshinweise
6.2 Alle 3 Versionshinweise
6.1 Alle 3 Versionshinweise
6.0 Alle 3 Versionshinweise

Bitte wenden Sie sich für Hilfe mit früheren AEM-Versionen an die Adobe Kundenunterstützung.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummern Betroffene Version Download-Paket
Reflektiertes Cross-Site-Scripting Offenlegung von Informationen
Mittel
CVE-2017-3109
AEM 6.3 und früher

Hotfix 17136 für 6.0.0

Cumulative Fix Pack für 6.1 SP2 – AEM-6.1-SP2-CFP9

Cumulative Fix Pack für 6.2 SP1 – AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Vertrauliches Token in HTTP GET-Anforderung Offenlegung von Informationen Wichtig CVE-2017-3111
AEM 6.1, AEM 6.2 Cumulative Fix Pack für 6.1 SP2–AEM-6.1-SP2-CFP12 
 
Cumulative Fix Pack für 6.2 SP1–AEM-6.2-SP1-CFP2
Cross-Site-Scripting
Offenlegung von Informationen Wichtig CVE-2017-11296 AEM 6.3 und früher

Hotfix 18963 für 6.0.0

Cumulative Fix Pack für 6.1 SP2 – AEM-6.1-SP2-CFP12

Cumulative Fix Pack für 6.2 SP1 – AEM-6.2-SP1-CFP6

Cumulative Fix Pack für AEM-CFP-6.3.0.2

 

Hinweis:

Die in der oben aufgeführten Tabelle angegebenen Pakete sind die mindestens erforderlichen Fix Packs zum Schließen der aufgeführten Sicherheitslücke. Weitere Informationen zu den neuesten Versionen finden Sie unter den oben aufgeführten Links zu den Versionshinweisen.

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:  

  • Nagamarimuthu von Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)