Sikkerhedsopdateringer til Adobe Experience Manager | APSB17-41
Bulletin-ID Udgivelsesdato Prioritet
APSB17-41 14. november 2017
3

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Experience Manager. Disse opdateringer løser et sikkerhedsproblem med reflekteret cross-site scripting (XSS) i HtmlRendererServlet (CVE-2017-3109), der vurderes som moderat, et sikkerhedsproblem med afsløring af oplysninger (CVE-2017-3111), der vurderes som vigtigt, hvor et sensitivt token under visse omstændigheder er inkluderet i en HTTP GET-forespørgsel, samt et sikkerhedsproblem med cross-site scripting (XSS) (CVE-2017-11296) i Apache Sling Servlets Post 2.3.20, der vurderes som vigtigt

Berørte produktversioner

Produkt Version Platform
Adobe Experience Manager

6,3

6.2

6.1

6.0

Alle

Bemærk:

HtmlRendererServlet skal deaktiveres i produktionssystemer.  Se Running AEM in Production Ready Mode for yderligere oplysninger. 

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:

Produkt Version Platform Prioritet Tilgængelighed
Adobe Experience Manager
6.3
Alle 3 Produktbemærkninger
6.2 Alle 3 Produktbemærkninger
6.1 Alle 3 Produktbemærkninger
6.0 Alle 3 Produktbemærkninger

Kontakt Adobe-kundeservice for at få hjælp til tidligere AEM-versioner.

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-numre Berørt version Downloadpakke
Reflekteret cross-site scripting (XSS) Afsløring af oplysninger
Moderat
CVE-2017-3109
AEM 6.3 og tidligere

Hotfix 17136 til version 6.0.0

Kumulativ rettelsespakke til 6.1 SP2 - AEM-6.1-SP2-CFP9

Kumulativ rettelsespakke til 6.2 SP1 - AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Sensitivt token i HTTP GET-forespørgsel Afsløring af oplysninger Vigtig CVE-2017-3111
AEM 6.1, AEM 6.2 Kumulativ rettelsespakke til 6.1 SP2 -  AEM-6.1-SP2-CFP12

Kumulativ rettelsespakke til 6.2 SP1 - AEM-6.2-SP1-CFP2
Cross-site scripting
Afsløring af oplysninger Vigtig CVE-2017-11296 AEM 6.3 og tidligere

Hotfix 18963 til version 6.0.0

Kumulativ rettelsespakke til 6.1 SP2 - AEM-6.1-SP2-CFP12

Kumulativ rettelsespakke til 6.2 SP1 - AEM-6.2-SP1-CFP6

Kumulativ rettelsespakke til AEM-CFP-6.3.0.2

 

Bemærk:

De pakker, der er angivet i tabellen ovenfor, er de rettelsespakker, der som minimum skal anvendes til at løse det angivne sikkerhedsproblem.  For oplysninger om de nyeste versioner, se de links til produktbemærkninger, der henvises til overfor.

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:  

  • Nagamarimuthu of Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)