Bulletin-ID
Sicherheitsupdates für Adobe Experience Manager verfügbar | APSB19-48
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
APSB19-48 |
15. Oktober 2019 |
2 |
Zusammenfassung
Adobe hat Sicherheitsupdates für Adobe Experience Manager (AEM) veröffentlicht. Durch diese Updates werden mehrere Schwachstellen in den AEM-Versionen 6.3, 6.4 und 6.5 behoben. Wenn diese erfolgreich ausgenutzt werden, können sie zu einem nicht autorisierten Zugriff auf die AEM-Umgebung führen.
Betroffene Produktversionen
Produkt |
Version |
Plattform |
---|---|---|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Alle |
2 |
|
6.4 |
Alle |
2 |
||
6.3 |
Alle |
2 |
Bitte wenden Sie sich für Hilfe mit früheren AEM-Versionen an die Adobe Kundenunterstützung.
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVE-Nummer |
Betroffene Versionen | Download-Paket |
---|---|---|---|---|---|
Cross-Site Request Forgery | Offenlegung vertraulicher Informationen | Wichtig | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
Reflektiertes Cross-Site-Scripting | Offenlegung vertraulicher Informationen
|
Mittel | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Gespeichertes Cross-Site-Scripting | Offenlegung vertraulicher Informationen | Wichtig | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
Gespeichertes Cross-Site-Scripting | Berechtigungsausweitung | Wichtig | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Umgehung der Authentifizierung
|
Offenlegung vertraulicher Informationen | Wichtig | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6 |
Einfügung externer XML-Entitäten | Offenlegung vertraulicher Informationen
|
Wichtig | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
Cross-Site-Scripting | Offenlegung vertraulicher Informationen
|
Mittel
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6 |
Reflektiertes Cross-Site-Scripting | Offenlegung vertraulicher Informationen
|
Mittel
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6 |
Reflektiertes Cross-Site-Scripting
|
Offenlegung vertraulicher Informationen
|
Mittel
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6 |
Einfügung externer XML-Entitäten
|
Offenlegung vertraulicher Informationen
|
Wichtig
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6 |
Einfügung externer XML-Entitäten
|
Offenlegung vertraulicher Informationen
|
Wichtig
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6 |
Einfügung von JavaScript-Code
|
Willkürliche Ausführung von Code
|
Kritisch
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Cumulative Fix Pack für 6.3 SP3 – AEM-6.3.3.6 |
Die Ausführung von JavaScript-Code (CVE-2019-8088) wirkt sich nur auf Version 6.2 aus. Ab 6.3 wird die streng in der Sandbox gehaltene Rhino-Engine verwendet, um JavaScript auszuführen, wodurch die Auswirkungen von CVE-2019-8088 auf blinde Server-Side Request Forgery(SSRF)-Angriffe und DoS (Denial-of-Service) reduziert werden.
Hinweis: Die in der oben aufgeführten Tabelle angegebenen Pakete sind die mindestens erforderlichen Fix Packs zum Schließen der aufgeführten Sicherheitslücke. Weitere Informationen zu den neuesten Versionen finden Sie unter den oben aufgeführten Links zu den Versionshinweisen.
Danksagung
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
Lorenzo Pirondini (Netcentric, ein Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay von T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Überarbeitungen
15. Oktober 2019: Aktualisierte CVE-Identifikation von CVE -2019-8077 zu CVE -2019-8234.
11. März 2020: Es wurde ein Hinweis hinzugefügt, der verdeutlicht, dass die Ausführung von JavaScript-Code (CVE-2019-8088) nur Auswirkungen auf AEM 6.2 hat.