Sikkerhedsopdateringer til Adobe Experience Manager

Udgivelsesdato: 13. december 2016

Seneste opdateret: 14. december 2016

Id for sikkerhedsproblem: APSB16-42

Prioritet:2

CVE-nummer: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Platform: Alle

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Experience Manager. Disse opdateringer løser tre vigtige sikkerhedsproblemer med inputvalidering, der kan bruges til XSS (cross-site scripting)-angreb (CVE-2016-7882, CVE-2016-7883 og CVE-2016-7884), og de omfatter også en opdatering, der beskytter brugerne mod et vigtigt sikkerhedsproblem med Cross-Site Request Forgery (CSRF) (CVE-2016-7885).

Berørte versioner

Produkt Berørte versioner Platform
  6.2 Alle
Adobe Experience Manager 6.1 Alle
  6.0 Alle

Løsning

Adobe anbefaler, at kunder med on-premise-installationer installerer de tilgængelige opdateringer, der henvises til nedenfor. Desuden bør kunderne gennemgå og implementere de trin, der er beskrevet i sikkerhedstjeklisterne for versionerne 6.26.1 eller 6.0.

Produkt Versioner Prioritetsgrad Tilgængelighed
  6.2
2 Produktbemærkninger
Adobe Experience Manager 6.1 2 Produktbemærkninger
  6.0 2 Produktbemærkninger

Kontakt Adobe-kundeservice for at få hjælp til tidligere AEM-versioner.

Sikkerhedsoplysninger

Beskrivelse CVE Berørte versioner Downloadpakke

Denne opdatering løser et vigtigt sikkerhedsproblem med inputvalidering i WCMDebug-filteret, der kan bruges til XSS (cross-site scripting)-angreb.

CVE-2016-7882
6.2 og tidligere versioner Hotfix 12444 til version 6.2
Hotfix 12444 til version 6.1 SP2 [0]
Hotfix 12444 til version 6.0 SP3

Opdateringerne løser et vigtigt sikkerhedsproblem med inputvalidering i Startguiden, der kan bruges til XSS (cross-site scripting)-angreb.

CVE-2016-7883
6.2 Hotfix 13062 til version 6.2

Opdateringerne løser et vigtigt sikkerhedsproblem med inputvalidering i Digital Asset Management-aktiver, der kan bruges til XSS (cross-site scripting)-angreb.

CVE-2016-7884
6.1 og tidligere versioner Akkumuleret fix-pakke til version 6.1 SP2
Hotfix 13297 til version 6.0 SP3

Opdateringer i Jackrabbit-komponenten, der beskytter brugerne mod Cross-Site Request Forgery (CSRF).

CVE-2016-7885 6.2 og tidligere versioner Hotfix 13547 til version 6.2
Hotfix 12817 til version 6.1
Hotfix 12846 til version 6.0

[0] Bemærk: Hotfix 12444 til version 6.1 SP2 er inkluderet i AEM 6.1 SP2 CFP2.

Tak til følgende personer

Adobe vil gerne takke Daniel Hamid for at rapportere om CVE-2016-7882 og for at samarbejde med Adobe for at beskytte vores kunder.  CVE-2016-7883, CVE-2016-7884 og CVE-2016-7885 blev rapporteret anonymt.

Revisioner

14. december 2016: Har ændret de påvirkede platforme til Alle (tidligere var kun Windows, Unix, Linux og OS X angivet). Har også inkluderet en note med henblik på at klargøre, at Hotfix 12444 tidligere var inkluderet sammen med AEM 6.1 SP2 CFP2.