Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe Experience Manager | APSB21-15

Bulletin-ID

Udgivelsesdato

Prioritet

APSB21-15

11. maj 2021

2

Resumé

Adobe har frigivet opdateringer til Adobe Experience Manager (AEM). Disse opdateringer løser sikkerhedsproblemer, der klassificeres som kritiske og vigtige. Hvis det lykkes at udnytte disse sikkerhedsproblemer, kan det medføre vilkårlig JavaScript-afvikling i browseren.

Berørte produktversioner

Produkt Version Platform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.7.0 og tidligere versioner 
Alle
6.4.8.3 og tidligere versioner 
Alle 
6.3.3.8 og tidligere versioner
Alle 

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:

Produkt

Version

Platform

Prioritet

Tilgængelighed

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alle 2 Produktbemærkninger

6.5.8.0 

Alle

2

Produktbemærkninger til AEM 6.5 Service Pack 

6.4.8.4

Alle

2

Produktbemærkninger til AEM 6.4 Cumulative Fix Pack  

Bemærk:

Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.  

Bemærk:

AEM Cumulative Fix Pack 6.4.8.4 er en vigtig opdatering, der indeholder flere interne rettelser og kunderettelser siden den generelle tilgængelighed af AEM 6.4 Service Pack 8 (6.4.8.0) i marts 2020.

Bemærk:

Kontakt Adobes kundeservice for at få assistance til AEM version 6.3 og 6.2.

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVE-nummer 

Berørte versioner

Ukorrekt adgangskontrol

Denial-of-service for applikation

Vigtig

CVE-2021-21083

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Cross-site scripting (lagret)

Kørsel af vilkårlig javascript-kode i browseren

Kritisk

CVE-2021-21084

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere 

Opdateringer af afhængigheder

Afhængighed
Virkning af sikkerhedsproblem
Berørte versioner
Commons-io
Ukorrekt adgangskontrol

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere 

MetadataExtractor
Ukontrolleret ressourceforbrug

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

FasterXML Jackson Databind/Core
Ekstern kodekørsel

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Eclipse Jetty
Ukorrekt adgangskontrol

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Lucene Queryparser
Ekstern kodekørsel

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Apache XML-RPC
Vilkårlig kodekørsel

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Zip4j
Vilkårlig kodekørsel

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Apache Directory LDAP API
Ukorrekt adgangskontrol

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Apache Sling
Ukorrekt adgangskontrol

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Apache Felix
Vilkårlig kodekørsel

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Apache Solr
Ukorrekt læse-/skriveadgang

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Apache Tomcat
Ukorrekt adgangskontrol

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

jQuery
Vilkårlig kodekørsel

AEM CS 

AEM 6.5.7.0 og tidligere 

AEM 6.4.8.3 og tidligere

AEM 6.3.3.8 og tidligere

Tak til følgende personer

Adobe vil gerne takke Thomas Hartmann fra netcentric (CVE-2021-21083) for at rapportere begge problemer og for at samarbejde med Adobe om at beskytte vores kunder. 

 Adobe

Få hjælp hurtigere og nemmere

Ny bruger?