Bulletin-ID
Sidst opdateret den
5. nov. 2021
Sikkerhedsopdateringer til Adobe Experience Manager | APSB21-82
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB21-82 |
14. september 2021 |
2 |
Resumé
Berørte produktversioner
| Produkt | Version | Platform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.9.0 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:
Produkt |
Version |
Platform |
Prioritet |
Tilgængelighed |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Produktbemærkninger |
6.5.10.0 |
Alle |
2 |
Produktbemærkninger til AEM 6.5 Service Pack |
Bemærk:
Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.
Bemærk:
Kontakt Adobes kundeservice for at få assistance til AEM-versionerne 6.4, 6.3 og 6.2.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Scripting på tværs af websteder (XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtig |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
CVE-2021-40711 |
|
Ukorrekt input-validering (CWE-20) |
Denial-of-service for applikation |
Vigtigt |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-40712 |
|
Ukorrekt certifikatvalidering (CWE-295) |
Sikkerhedsomgåelse |
Vigtigt |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2021-40713 |
|
Scripting på tværs af websteder (XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-40714 |
|
Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Vigtigt |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
|
Opdateringer af afhængigheder
| Afhængighed |
Virkning af sikkerhedsproblem |
Berørte versioner |
| Iodash |
Vilkårlig kodekørsel |
AEM CS AEM 6.5.9.0 og tidligere |
| Apache Sling | Stioverskridelse | AEM CS AEM 6.5.9.0 og tidligere |
| Jetty |
Denial of service |
AEM CS AEM 6.5.9.0 og tidligere |
| Jackson-Databind |
Ukontrolleret tildeling af byte-buffer |
AEM CS AEM 6.5.9.0 og tidligere |
Tak til følgende personer
Adobe vil gerne takke Lorenzo Pirondini (Netcentric, en Cognizant Digital-virksomhed) (CVE-2021-40711, CVE-2021-40712) og Eckbert Andresen (CVE-2021-42725), for at rapportere dette problem og for at samarbejde med Adobe om at beskytte vores kunder.
Revisioner
27. september 2021: Afsnittet Tak til følgende personer er blevet opdateret for CVE-2021-40711 og CVE-2021-40712.
4. oktober 2021: CVSS-basisscore, -vektor og Alvorlighed er blevet opdateret for CVE-2021-40711.
28. oktober 2021: Der er føjet oplysninger til CVE-2021-42725.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
