Bulletin-ID
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB20-72
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
APSB20-72 |
8. Dezember 2020 |
2 |
Zusammenfassung
Betroffene Produktversionen
Produkt | Version | Plattform |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
6.5.6.0 und frühere Versionen |
Alle |
|
6.4.8.2 und frühere Versionen |
Alle |
|
6.3.3.8 und frühere Versionen |
Alle |
|
6.2 SP1-CFP20 und frühere Versionen |
Alle |
|
AEM Forms-Add-on |
AEM Forms Service Pack 6 – Add-On-Paket für AEM 6.5.6.0 |
Alle |
AEM Forms Add-On-Paket für AEM 6.4 Service Pack 8 – kumulatives Fixpack 2 (6.4.8.2) |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Versionshinweise |
6.5.7.0 |
Alle |
2 |
AEM 6.5 Service Pack – Versionshinweise |
|
6.4.8.3 |
Alle |
2 |
||
AEM Forms-Add-on |
AEM Forms Service Pack 7 |
Alle |
2 |
AEM Forms-Versionen |
AEM 6.4 Service Pack 8 CFP 3 |
Alle | 2 | AEM Forms-Versionen |
Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.
Adobe Experience Manager 6.5.7.0 ist ein wichtiges Update, das neue Funktionen, wichtige von Kunden angeforderte Verbesserungen sowie Leistungs-, Stabilitäts- und Sicherheitsverbesserungen umfasst, die seit der allgemeinen Verfügbarkeit der Version 6.5 im April 2019 veröffentlicht wurden. Es kann auf Adobe Experience Manager 6.5 installiert werden.
AEM Cumulative Fix Pack 6.4.8.3 ist ein wichtiges Update, das seit der allgemeinen Verfügbarkeit von AEM 6.4 Service Pack 8 (6.4.8.0) im März 2020 mehrere interne Korrekturen und Kundenkorrekturen enthält. AEM Cumulative Fix Pack 6.4.8.3 ist von AEM 6.4 Service Pack 8 abhängig. Daher müssen Sie das AEM Cumulative Fix Pack 6.4.8.3-Paket nach der Installation von AEM 6.4 Service Pack 8 installieren.
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVE-Nummer |
Betroffene Versionen |
---|---|---|---|---|
Blind Server-side Request Forgery |
Offenlegung vertraulicher Informationen |
Wichtig |
CVE-2020-24444 |
AEM Forms SP6-Add-on für AEM 6.5.6.0 und früher AEM Forms Add-On-Paket für AEM 6.4 Service Pack 8 – kumulatives Fixpack 2 (6.4.8.2) und früher |
Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Kritisch |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 und früher |
Updates für Abhängigkeiten
Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
Apache Abdera |
Ressourcenverbrauch |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Apache Batik |
Server-seitige Request Forgery |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Apache Commons Compress |
Ressourcenverbrauch |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Apache OpenNLP |
Einfügung externer XML-Entitäten (XXE) |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Apache Sling-Planungsdienst |
Einfügung externer XML-Entitäten (XXE) |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Apache Xerces2 |
Ressourcenverbrauch |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
CKEditor |
Willkürliche JavaScript-Ausführung im Browser |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Eclipse Jetty |
Ressourcenverbrauch |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Google-oauth-client |
Unzulässige Autorisierung |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Handlebars.js |
Verunreinigung durch Prototypen |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Jackson Mapper |
Einfügung externer XML-Entitäten (XXE) |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
jQuery |
Willkürliche JavaScript-Ausführung im Browser |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Spring Framework |
Verzeichnisübergang |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Zip4j |
Verzeichnisübergang |
AEM CS AEM 6.5.6.0 und früher AEM 6.4.8.2 und früher AEM 6.3.3.8 und früher |
Danksagung
Adobe bedankt sich bei Frank Karlstrøm und Kenny Jansson von der Storebrand Group, Norwegen (CVE-2020-24444) für die Zusammenarbeit mit Adobe zum Schutz unserer Kunden.
Überarbeitungen
13. Januar 2021: Die AEM 6.4.8.2 und 6.3.3.8 wurden aus der Liste der von CVE-2020-24445 betroffenen Versionen entfernt.