Adobe Experience Managerin tietoturvapäivitykset

Julkaisupäivä: 13. joulukuuta 2016

Viimeksi päivitetty: 14. joulukuuta 2016

Haavoittuvuuden tunniste: APSB16-42

Prioriteetti: 2

CVE-numerot: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Ympäristö: kaikki

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin. Päivitykset ratkaisevat kolme tärkeää syötteen tarkistusongelmaa, joita voidaan hyödyntää XSS-hyökkäyksissä (CVE-2016-7882, CVE-2016-7883 ja CVE-2016-7884), ja sisältävät päivityksen joka suojaa käyttäjiä tärkeältä XSS-pyyntöjen väärennöshaavoittuvuudelta (CVE-2016-7885).

Versiot

Tuote Versiot Ympäristö
  6.2 Kaikki
Adobe Experience Manager 6.1 Kaikki
  6.0 Kaikki

Ratkaisu

Adobe suosittelee omiin järjestelmiin asennettuja versioita käyttäviä asiakkaita asentamaan seuraavat päivitykset. Lisäksi asiakkaita suositellaan käymään läpi ja tekemään version 6.26.1 tai 6.0 tietoturvan tarkistusluetteloissa kuvatut vaiheet.

Tuote Versiot Prioriteettiluokitus Saatavuus
  6.2
2 Julkaisutiedot
Adobe Experience Manager 6.1 2 Julkaisutiedot
  6.0 2 Julkaisutiedot

Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.

Lisätietoja haavoittuvuuksista

Kuvaus CVE-numero Versiot Latauspaketti

Päivitykset ratkaisevat WCMDebug-suodattimen tärkeän syötteen tarkistusongelman, jota voidaan hyödyntää XSS-hyökkäyksissä.

CVE-2016-7882
6.2 ja aiemmat versiot Korjaustiedosto 12444 versiolle 6.2
Korjaustiedosto 12444 versiolle 6.1 SP2 [0]
Korjaustiedosto 12444 versiolle 6.0 SP3

Päivitykset ratkaisevat ohjatun aloituksen luontitoiminnon tärkeän syötteen tarkistusongelman, jota voidaan hyödyntää XSS-hyökkäyksissä.

CVE-2016-7883
6.2 Korjaustiedosto 13062 versiolle 6.2

Päivitykset ratkaisevat DAM-luontiresurssien tärkeän syötteen tarkistusongelman, jota voidaan hyödyntää XSS-hyökkäyksissä.

CVE-2016-7884
6.1 ja aiemmat versiot Kumulatiivinen korjaustiedosto versiolle 6.1 SP2
Korjaustiedosto 13297 versiolle 6.0 SP3

Jackrabbit-komponentin päivitykset suojaavat käyttäjiä väärennetyiltä XSS-pyynnöiltä.

CVE-2016-7885 6.2 ja aiemmat versiot Korjaustiedosto 13547 versiolle 6.2
Korjaustiedosto 12817 versiolle 6.1
Korjaustiedosto 12846 versiolle 6.0

[0] Huomautus: korjaustiedosto 12444 versiolle 6.1 SP2 sisältyy AEM-versioon 6.1 SP2 CFP2.

Kiitokset

Adobe haluaa kiittää Daniel Hamidia tästä ongelmasta (CVE-2016-7882) ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa.  Ongelmista CVE-2016-7883, CVE-2016-7884 ja CVE-2016-7885 ilmoitettiin nimettömästi.

Versiot

14. joulukuuta 2016: vaikutuksenalaisiksi käyttöjärjestelmiksi on muutettu kaikki (aiemmin mainittu vain Windows, Unix, Linux ja OS X). Lisäksi on lisätty huomautus, joka selventää, että korjaustiedosto 12444 sisällytettiin aiemmin AEM-versioon 6.1 SP2 CFP2.