Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset

Julkaisupäivä: 9. helmikuuta 2016

Viimeksi päivitetty: 12. helmikuuta 2016

Haavoittuvuuden tunniste: APSB16-05

Prioriteetti: 2

CVE-numero: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Ympäristö: Windows, Unix, Linux ja OS X

Yhteenveto

Adobe on julkaissut tietoturvaan liittyviä korjaustiedostoja Adobe Experience Manageriin. Nämä korjaustiedostot ratkaisevat tärkeitä haavoittuvuuksia, jotka voivat johtaa tietojen paljastumiseen. 

Versiot

Tuote Versiot Ympäristö
  6.1.0 Windows, Unix, Linux ja OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux ja OS X
  5.6.1 Windows, Unix, Linux ja OS X

Ratkaisu

Adobe suosittelee omiin järjestelmiin asennettuja versioita käyttäviä asiakkaita asentamaan seuraavat korjaustiedostot.  Lisäksi asiakkaita suositellaan käymään läpi ja tekemään version 6.1, 6.0 tai 5.6.1 tietoturvan tarkistusluetteloissa kuvatut vaiheet.

Tuote Versiot Prioriteettiluokitus Saatavuus
  6.1.0
2 Korjaustiedostot (6.1.0)
Adobe Experience Manager 6.0.0 2 Korjaustiedostot (6.0)
  5.6.1 2 Korjaustiedostot (5.6.1)

Lisätietoja saatavana olevista korjaustiedostoista on Adobe Experience Managerin ohjesivulla

Lisätietoja haavoittuvuuksista

Kuvaus CVE-numero Latauspaketti
  • Korjaustiedosto 8364 sisältää Javan sarjoituksen purkuongelman korjauksen
CVE-2016-0958

Version 6.1 korjaustiedosto
Version 6.0 korjaustiedosto
Version 5.6.1 korjaustiedosto

  • Korjaustiedosto 8651 korjaa vain versioon 6.1.0 vaikuttavan sivustojen välisen komentosarjojen käsittelyhaavoittuvuuden, joka voi johtaa tietojen paljastumiseen
CVE-2016-0955

Version 6.1 korjaustiedosto

  • Korjaustiedosto 6445 ratkaisee tietojen paljastumishaavoittuvuuden, joka koskee Apache Sling Servlets Post -versiota 2.3.6 ja aiempia versioita
CVE-2016-0956

Version 6.1 korjaustiedosto
Version 6.0 korjaustiedosto
Version 5.6.1 korjaustiedosto

  • Dispatcher 4.1.5 ja uudemmat versiot ratkaisevat URL-suodattimen ohitushaavoittuvuuden, jota voidaan käyttää Dispatcher-sääntöjen kiertämiseen
CVE-2016-0957 Dispatcher

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Damian Pfammatter Compass Security Schweiz AG:sta (CVE-2016-0955)
  • Ateeq ur Rehman Khan Vulnerability Labsista (@CyberCrimeNEWS) (CVE-2016-0956)

Versiot

12. helmikuuta 2016:

  • Lisätty maininta ”aiemmista versioista” sen selventämiseksi, että CVE-2016-0956 koskee Apache Sling Servlets Post -ohjelman versiota 2.3.6 ja tätä aiempia versioita.  
  • Muokattu haavoittuvuuden CVE-2016-0955 kuvausta sen selventämiseksi, että se koskee vain versiota 6.1.0. CVE-2016-0955 ei koske AEM 6.1.0 -versiota aiempia versioita.  
  • Haavoittuvuustiedot-osio muotoiltu taulukoksi, johon on lisätty kunkin korjaustiedoston latauspakettien URL-osoitteet.