Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe Experience Manager | APSB19-48

Bulletin-ID

Udgivelsesdato

Prioritet

APSB19-48

15. oktober 2019

2

Resumé

Adobe har frigivet sikkerhedsopdateringer til Adobe Experience Manager (AEM). Disse opdateringer løser flere sikkerhedsproblemer i AEM-versionerne  6.3, 6.4 og 6.5.  Udnyttelse af disse sikkerhedsproblemer kan medføre uautoriseret adgang til AEM-miljøet.  

Berørte produktversioner

Produkt

Version

Platform

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:

Produkt

Version

Platform

Prioritet

Tilgængelighed

 

Adobe Experience Manager

6.5

Alle

2

Frigivelser og opdateringer

6.4

Alle

2

Frigivelser og opdateringer

6.3

Alle

2

Frigivelser og opdateringer

Kontakt Adobe-kundeservice for at få hjælp til tidligere AEM-versioner.

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVE-nummer 

Berørte versioner Downloadpakke
Falskneri i forbindelse med forespørgsler på tværs af websteder Afsløring af følsomme oplysninger Vigtig

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Reflekteret cross-site scripting (XSS)

Afsløring af følsomme oplysninger

 

Moderat CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Lagret cross-site scripting (XSS) Afsløring af følsomme oplysninger Vigtig CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.4.0

Lagret cross-site scripting (XSS) Eskalering af rettigheder Vigtig 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Tilsidesættelse af godkendelse

 

 

Afsløring af følsomme oplysninger Vigtig CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Service Pack for 6.5 - AEM-6.5.2.0 

Injektion af eksterne XML-enheder

Afsløring af følsomme oplysninger

 

Vigtig CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Cross-site-scripting (XSS)

Afsløring af følsomme oplysninger

 

Moderat

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Service Pack for 6.5 - AEM-6.5.2.0 

Reflekteret cross-site scripting (XSS)

Afsløring af følsomme oplysninger

 

 

Moderat

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.5.0

Service Pack for 6.5 - AEM-6.5.2.0 

Reflekteret cross-site scripting (XSS)

 

 

Afsløring af følsomme oplysninger

 

 

Moderat

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.5.0

Service Pack for 6.5 - AEM-6.5.2.0 

Injektion af eksterne XML-enheder

 

 

Afsløring af følsomme oplysninger

 

 

Vigtig

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Service Pack for 6.5 - AEM-6.5.2.0 

Injektion af eksterne XML-enheder

 

 

Afsløring af følsomme oplysninger

 

Vigtig

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Service Pack for 6.5 - AEM-6.5.2.0 

Injektion af JavaScript-kode

 

 

Vilkårlig kodekørsel

 

 

Kritisk

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 - AEM-6.4.6.0

Service Pack for 6.5 - AEM-6.5.2.0 

Bemærk:

Kørsel af JavaScript-kode (CVE-2019-8088) påvirker kun version 6.2.  Fra og med 6.3 bruges Rhino engine udelukkende i sandbox til at køre JavaScript, hvilket reducerer virkningen af CVE-2019-8088 på blinde Server-Side Request Forgery (SSRF)-angreb og denial-of-service (DoS). 

Bemærk:

Bemærk: De pakker, der er angivet i tabellen ovenfor, er de rettelsespakker, der som minimum skal anvendes til at løse det angivne sikkerhedsproblem.  For oplysninger om de nyeste versioner, se de links til produktbemærkninger, der henvises til overfor.

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Revisioner

15. oktober 2019: Der er opdateret CVE-id fra CVE-2019-8077 til CVE-2019-8234.

11. marts 2020: Note tilføjet for at tydeliggøre, at kørsel af JavaScript-kode (CVE-2019-8088) kun påvirker AEM 6.2.  

Adobe-logo

Log ind på din konto