Bulletin-ID
Sidst opdateret den
5. maj 2021
Sikkerhedsopdateringer til Adobe Experience Manager | APSB19-48
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB19-48 |
15. oktober 2019 |
2 |
Resumé
Adobe har frigivet sikkerhedsopdateringer til Adobe Experience Manager (AEM). Disse opdateringer løser flere sikkerhedsproblemer i AEM-versionerne 6.3, 6.4 og 6.5. Udnyttelse af disse sikkerhedsproblemer kan medføre uautoriseret adgang til AEM-miljøet.
Berørte produktversioner
|
Produkt |
Version |
Platform |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:
Produkt |
Version |
Platform |
Prioritet |
Tilgængelighed |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Alle |
2 |
|
6.4 |
Alle |
2 |
||
6.3 |
Alle |
2 |
Kontakt Adobe-kundeservice for at få hjælp til tidligere AEM-versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVE-nummer |
Berørte versioner | Downloadpakke |
|---|---|---|---|---|---|
| Falskneri i forbindelse med forespørgsler på tværs af websteder | Afsløring af følsomme oplysninger | Vigtig | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Reflekteret cross-site scripting (XSS) | Afsløring af følsomme oplysninger
|
Moderat | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Lagret cross-site scripting (XSS) | Afsløring af følsomme oplysninger | Vigtig | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Lagret cross-site scripting (XSS) | Eskalering af rettigheder | Vigtig | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Tilsidesættelse af godkendelse
|
Afsløring af følsomme oplysninger | Vigtig | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6 |
| Injektion af eksterne XML-enheder | Afsløring af følsomme oplysninger
|
Vigtig | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Cross-site-scripting (XSS) | Afsløring af følsomme oplysninger
|
Moderat
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6 |
| Reflekteret cross-site scripting (XSS) | Afsløring af følsomme oplysninger
|
Moderat
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6 |
Reflekteret cross-site scripting (XSS)
|
Afsløring af følsomme oplysninger
|
Moderat
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6 |
Injektion af eksterne XML-enheder
|
Afsløring af følsomme oplysninger
|
Vigtig
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6 |
Injektion af eksterne XML-enheder
|
Afsløring af følsomme oplysninger
|
Vigtig
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6 |
Injektion af JavaScript-kode
|
Vilkårlig kodekørsel
|
Kritisk
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulativ rettelsespakke til 6.3 SP3 – AEM-6.3.3.6 |
Bemærk:
Kørsel af JavaScript-kode (CVE-2019-8088) påvirker kun version 6.2. Fra og med 6.3 bruges Rhino engine udelukkende i sandbox til at køre JavaScript, hvilket reducerer virkningen af CVE-2019-8088 på blinde Server-Side Request Forgery (SSRF)-angreb og denial-of-service (DoS).
Bemærk:
Bemærk: De pakker, der er angivet i tabellen ovenfor, er de rettelsespakker, der som minimum skal anvendes til at løse det angivne sikkerhedsproblem. For oplysninger om de nyeste versioner, se de links til produktbemærkninger, der henvises til overfor.
Tak til følgende personer
Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
Lorenzo Pirondini (Netcentric, en Cognizant Digital Business-virksomhed) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay fra T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revisioner
15. oktober 2019: Der er opdateret CVE-id fra CVE-2019-8077 til CVE-2019-8234.
11. marts 2020: Note tilføjet for at tydeliggøre, at kørsel af JavaScript-kode (CVE-2019-8088) kun påvirker AEM 6.2.
