Bulletin-ID
Sikkerhedsopdateringer til Adobe Experience Manager | APSB20-72
|
Udgivelsesdato |
Prioritet |
---|---|---|
APSB20-72 |
8. december 2020 |
2 |
Resumé
Berørte produktversioner
Produkt | Version | Platform |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
6.5.6.0 og tidligere versioner |
Alle |
|
6.4.8.2 og tidligere versioner |
Alle |
|
6.3.3.8 og tidligere versioner |
Alle |
|
6.2 SP1-CFP20 og tidligere versioner |
Alle |
|
AEM Forms-tilføjelsesprogram |
AEM Forms Service Pack 6-tilføjelsespakke til AEM 6.5.6.0 |
Alle |
AEM Forms-tilføjelsespakke til AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:
Produkt |
Version |
Platform |
Prioritet |
Tilgængelighed |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Produktbemærkninger |
6.5.7.0 |
Alle |
2 |
Produktbemærkninger til AEM 6.5 Service Pack |
|
6.4.8.3 |
Alle |
2 |
||
AEM Forms-tilføjelsesprogram |
AEM Forms Service Pack 7 |
Alle |
2 |
AEM Forms-versioner |
AEM 6.4 Service Pack 8 CFP 3 |
Alle | 2 | AEM Forms-versioner |
Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.
Adobe Experience Manager 6.5.7.0 er en vigtig opdatering, der indeholder nye funktioner, vigtige forbedringer, som kunder har anmodet om, og ydeevne-, stabilitets- og sikkerhedsforbedringer, der er frigivet siden den generelle tilgængelighed af 6.5-versionen i april 2019. Den kan installeres oven på Adobe Experience Manager 6.5.
AEM Cumulative Fix Pack 6.4.8.3 er en vigtig opdatering, der indeholder flere interne rettelser og kunderettelser siden den generelle tilgængelighed af AEM 6.4 Service Pack 8 (6.4.8.0) i marts 2020. AEM Cumulative Fix Pack 6.4.8.3 afhænger af AEM 6.4 Service Pack 8. Du skal derfor installere pakken AEM Cumulative Fix Pack 6.4.8.3 efter installation af AEM 6.4 Service Pack 8.
Kontakt Adobes kundeservice for at få assistance til AEM version 6.3 og 6.2.
Sikkerhedsoplysninger
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVE-nummer |
Berørte versioner |
---|---|---|---|---|
Blind server-side request forgery |
Afsløring af følsomme oplysninger |
Vigtigt |
CVE-2020-24444 |
AEM Forms SP6-tilføjelsesprogram til AEM 6.5.6.0 og tidligere AEM Forms-tilføjelsespakke til AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) og tidligere |
Cross-site scripting (lagret) |
Kørsel af vilkårlig javascript-kode i browseren |
Kritisk |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 og tidligere |
Opdateringer af afhængigheder
Afhængighed |
Virkning af sikkerhedsproblem |
Berørte versioner |
Apache Abdera |
Ressourceforbrug |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Apache Batik |
Server-side request forgery |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Apache Commons Compress |
Ressourceforbrug |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Apache OpenNLP |
Injektion af eksterne XML-enheder (XXE) |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Apache Sling Scheduler Service |
Injektion af eksterne XML-enheder (XXE) |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Apache Xerces2 |
Ressourceforbrug |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
CKEditor |
Kørsel af vilkårlig javascript-kode i browseren |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Eclipse Jetty |
Ressourceforbrug |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Google-oauth-client |
Ukorrekt autorisation |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Handlebars.js |
Prototype-forurening |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Jackson Mapper |
Injektion af eksterne XML-enheder (XXE) |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
jQuery |
Kørsel af vilkårlig javascript-kode i browseren |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Spring Framework |
Stioverskridelse |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Zip4j |
Stioverskridelse |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Tak til følgende personer
Adobe vil gerne takke Frank Karlstrøm og Kenny Jansson fra Storebrand Group, Norge (CVE-2020-24444) for at samarbejde med Adobe for at beskytte vores kunder.
Revisioner
Januar 13, 2021: Fjernet AEM 6.4.8.2 og 6.3.3.8 fra listen over versioner påvirket af CVE-2020-24445.