Adoben tietoturvatiedote

Adobe Experience Manager Formsin tietoturvapäivitykset

Julkaisupäivä: 13. joulukuuta 2016

Haavoittuvuuden tunniste: APSB16-40

Prioriteetti: 3

CVE-numerot: CVE-2016-6933, CVE-2016-6934

Ympäristö: Windows, Linux, Solaris ja AIX

Yhteenveto

Adobe on julkaissut Windowsin, Linuxin, Solariksen ja AIX:n Adobe Experience Manager (AEM) Formsin tietoturvapäivityksiä. Päivitykset ratkaisevat kaksi tärkeää syötteiden validointiongelmaa, joita voidaan käyttää XSS-hyökkäyksissä (CVE-2016-6933 ja CVE-2016-6934). Adobe suosittelee käyttäjiä asentamaan tarvittavat päivitykset jäljempänä olevan Ratkaisu-osion ohjeiden mukaisesti. 

Huomautus: AEM Forms on vuonna 2015 julkaistu Adobe LiveCyclen korvaaja.  

Versiot

Tuote Versio, jota haavoittuvuus koskee Ympäristö
Adobe Experience Manager Forms

6.2
6.1
6.0

Windows, Linux, Solaris ja AIX
LiveCycle

11.0.1
10.0.4

Windows, Linux, Solaris ja AIX

Ratkaisu

Adobe luokittelee tämän päivityksen seuraavalla prioriteettiluokituksella ja suosittelee paikallisten asennusten käyttäjiä päivittämään jäljempänä määritetyt päivitykset Adobe Marketing Cloud -asiakastukitiimin avustuksella.

Tuote Korjattu versio Ympäristö Prioriteettiluokitus
Adobe Experience Manager Forms 6.2 AEMForms-6.2.0-0002 Windows, Linux, Solaris ja AIX
3
Adobe Experience Manager Forms 6.1 6.1.0-COR-1064-012
6.1.0-PRM-1065-020
Windows, Linux, Solaris ja AIX 3
Adobe Experience Manager Forms 6.0 6.0.0-COR-1042-015
6.0.0-PRM-1043-020
Windows, Linux, Solaris ja AIX 3
LiveCycle 11.0.1 11.0.1-COR-1155-044
11.0.1-PRM-1161-017
Windows, Linux, Solaris ja AIX
3
LiveCycle 10.0.4 10.0.4-COR-1064-025
10.0.4-PRM-1065-007
Windows, Linux, Solaris ja AIX
3

Lisätietoja haavoittuvuuksista

Kuvaus CVE-numero Korjattu versio
Korjaustiedostot ratkaisevat AAC-komponentin syötteen tarkistusongelman, jota voidaan hyödyntää XSS-hyökkäyksissä.
CVE-2016-6933  AEMForms-6.2.0-0002
6.1.0-COR-1064-012
6.0.0-COR-1042-015
11.0.1-COR-1155-044
10.0.4-COR-1064-025

Päivitykset ratkaisevat PMAdmin-moduulin syötteen tarkistusongelman, jota voidaan hyödyntää XSS-hyökkäyksissä.
CVE-2016-6934 AEMForms-6.2.0-0002
6.1.0-PRM-1065-020
6.0.0-PRM-1043-020
11.0.1-PRM-1161-017
10.0.4-PRM-1065-007

Kiitokset

Adobe haluaa kiittää Adam Willardia Blue Canopysta näistä ongelmista (CVE-2016-6933 ja CVE-2016-6934) ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa: