Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe Experience Manager | APSB20-72

Bulletin-ID

Udgivelsesdato

Prioritet

APSB20-72

8. december 2020 

2

Resumé

Adobe har udgivet opdateringer til Adobe Experience Manager (AEM) og tilføjelsespakken AEM Forms. Disse opdateringer løser sikkerhedsproblemer, der klassificeres som kritiske og vigtige.


Berørte produktversioner

Produkt Version Platform

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.6.0 og tidligere versioner
Alle
6.4.8.2 og tidligere versioner
Alle 
6.3.3.8 og tidligere versioner
Alle 
6.2 SP1-CFP20 og tidligere versioner 
Alle 
AEM Forms-tilføjelsesprogram 
AEM Forms Service Pack 6-tilføjelsespakke til AEM 6.5.6.0 
Alle 
AEM Forms-tilføjelsespakke til AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:

Produkt

Version

Platform

Prioritet

Tilgængelighed

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alle 2 Produktbemærkninger

6.5.7.0 

Alle

2

Produktbemærkninger til AEM 6.5 Service Pack   

6.4.8.3

Alle

2

Produktbemærkninger til AEM 6.4 Cumulative Fix Pack  

 

AEM Forms-tilføjelsesprogram

AEM Forms Service Pack 7
Alle
2
AEM Forms-versioner 
AEM 6.4 Service Pack 8 CFP 3
Alle 2 AEM Forms-versioner
Bemærk:

Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.  

Bemærk:

Adobe Experience Manager 6.5.7.0 er en vigtig opdatering, der indeholder nye funktioner, vigtige forbedringer, som kunder har anmodet om, og ydeevne-, stabilitets- og sikkerhedsforbedringer, der er frigivet siden den generelle tilgængelighed af 6.5-versionen i april 2019.  Den kan installeres oven på Adobe Experience Manager 6.5.

Bemærk:

AEM Cumulative Fix Pack 6.4.8.3 er en vigtig opdatering, der indeholder flere interne rettelser og kunderettelser siden den generelle tilgængelighed af AEM 6.4 Service Pack 8 (6.4.8.0) i marts 2020. AEM Cumulative Fix Pack 6.4.8.3 afhænger af AEM 6.4 Service Pack 8. Du skal derfor installere pakken AEM Cumulative Fix Pack 6.4.8.3 efter installation af AEM 6.4 Service Pack 8.

Bemærk:

Kontakt Adobes kundeservice for at få assistance til AEM version 6.3 og 6.2.

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVE-nummer 

Berørte versioner

Blind server-side request forgery

Afsløring af følsomme oplysninger

Vigtigt

CVE-2020-24444

AEM Forms SP6-tilføjelsesprogram til AEM 6.5.6.0 og tidligere

AEM Forms-tilføjelsespakke til AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) og tidligere

Cross-site scripting (lagret)

Kørsel af vilkårlig javascript-kode i browseren

Kritisk

CVE-2020-24445

AEM CS

AEM 6.5.6.0 og tidligere

Opdateringer af afhængigheder

Afhængighed
Virkning af sikkerhedsproblem
Berørte versioner
Apache Abdera
Ressourceforbrug

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Batik
Server-side request forgery

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Commons Compress
Ressourceforbrug

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache OpenNLP
Injektion af eksterne XML-enheder (XXE)

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Sling Scheduler Service
Injektion af eksterne XML-enheder (XXE)

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Xerces2
Ressourceforbrug

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

CKEditor
Kørsel af vilkårlig javascript-kode i browseren

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Eclipse Jetty
Ressourceforbrug

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Google-oauth-client
Ukorrekt autorisation

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Handlebars.js
Prototype-forurening

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Jackson Mapper
Injektion af eksterne XML-enheder (XXE)

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

jQuery
Kørsel af vilkårlig javascript-kode i browseren

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Spring Framework
Stioverskridelse

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Zip4j
Stioverskridelse

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Tak til følgende personer

Adobe vil gerne takke Frank Karlstrøm og Kenny Jansson fra Storebrand Group, Norge (CVE-2020-24444) for at samarbejde med Adobe for at beskytte vores kunder.

Revisioner

Januar 13, 2021: Fjernet AEM 6.4.8.2 og   6.3.3.8 fra listen over versioner påvirket af   CVE-2020-24445.  

Adobe-logo

Log ind på din konto