Bulletin-ID
Zuletzt aktualisiert am
10. September 2021
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB21-15
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB21-15 |
11. Mai 2021 |
2 |
Zusammenfassung
Betroffene Produktversionen
| Produkt | Version | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.7.0 und frühere Versionen |
Alle |
|
| 6.4.8.3 und frühere Versionen |
Alle |
|
| 6.3.3.8 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Versionshinweise |
6.5.8.0 |
Alle |
2 |
AEM 6.5 Service Pack – Versionshinweise | |
6.4.8.4 |
Alle |
2 |
Hinweis:
Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.
Hinweis:
AEM Cumulative Fix Pack 6.4.8.4 ist ein wichtiges Update, das seit der allgemeinen Verfügbarkeit von AEM 6.4 Service Pack 8 (6.4.8.0) im März 2020 mehrere interne Korrekturen und Kundenkorrekturen enthält.
Hinweis:
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVE-Nummer |
Betroffene Versionen |
|---|---|---|---|---|
|
Unzureichende Zugriffskontrolle |
Anwendungsabsturz |
Wichtig |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
|
Cross-Site-Scripting (gespeichert) |
Willkürliche JavaScript-Ausführung im Browser |
Kritisch |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
Updates für Abhängigkeiten
| Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
| Commons-io |
Unzureichende Zugriffskontrolle |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| MetadataExtractor |
Nicht kontrollierter Ressourcenverbrauch |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| FasterXML Jackson Databind/Core |
Ausführung von externem Code |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Eclipse Jetty |
Unzureichende Zugriffskontrolle |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Lucene Queryparser |
Ausführung von externem Code |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Apache XML-RPC |
Willkürliche Ausführung von Code |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Zip4j |
Willkürliche Ausführung von Code |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Apache Directory LDAP API |
Unzureichende Zugriffskontrolle | AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Apache Sling |
Unzureichende Zugriffskontrolle | AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Apache Felix |
Willkürliche Ausführung von Code |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Apache Solr |
Ungültiger Lese-/Schreibzugriff |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| Apache Tomcat |
Unzureichende Zugriffskontrolle |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
| jQuery |
Willkürliche Ausführung von Code |
AEM CS AEM 6.5.7.0 und früher AEM 6.4.8.3 und früher AEM 6.3.3.8 und früher |
Danksagung
Adobe bedankt sich bei Thomas Hartmann von netcentric (CVE-2021-21083) für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden.
