Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin. Nämä päivitykset korjaavat heijastetun sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden, joka on luokiteltu keskitasoiseksi ja joka koskee HtmlRendererServlet-servletiä (CVE-2017-3109), tietojen paljastumiseen liittyvän haavoittuvuuden (CVE-2017-3111), joka on luokiteltu tärkeäksi ja joka aiheuttaa tietyissä tilanteissa arkaluonteisen tunnisteen sisällyttämisen http GET -pyyntöön, sekä sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden (CVE-2017-11296), joka koskee Apache Sling Servlets Post 2.3.20:ta ja joka on luokiteltu tärkeäksi.
Huomautus:
HtmlRendererServlet pitää poistaa käytöstä tuotantojärjestelmissä. Katso lisätietoja kohdasta AEM:n suorittaminen tuotantovalmiustilassa.
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote | Versio | Ympäristö | Prioriteetti | Saatavuus |
Adobe Experience Manager |
6.3 |
Kaikki | 3 | Julkaisutiedot |
6.2 | Kaikki | 3 | Julkaisutiedot |
|
6.1 | Kaikki | 3 | Julkaisutiedot |
|
6.0 | Kaikki | 3 | Julkaisutiedot |
Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.
Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVE-numerot | Versio, jota haavoittuvuus koskee | Latauspaketti |
Heijastettu sivustojen välinen skriptaus | Tietojen paljastuminen |
Kohtalainen |
CVE-2017-3109 |
AEM 6.3 ja aiemmat versiot | Korjaustiedosto 17136 versiolle 6.0.0 Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 – AEM-6.1-SP2-CFP9 Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 – AEM-6.2-SP1-CFP5 |
Arkaluonteinen tunniste HTTP GET -pyynnössä | Tietojen paljastuminen | Tärkeä | CVE-2017-3111 |
AEM 6.1, AEM 6.2 | Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 - AEM-6.1-SP2-CFP12 Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 - AEM-6.2-SP1-CFP2 |
Sivustojen välinen skriptaus |
Tietojen paljastuminen | Tärkeä | CVE-2017-11296 | AEM 6.3 ja aiemmat versiot | Korjaustiedosto 18963 versiolle 6.0.0 Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 – AEM-6.1-SP2-CFP12 Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 – AEM-6.2-SP1-CFP6 Kumulatiivinen korjaustiedosto versiolle AEM-CFP-6.3.0.2
|
Huomautus:
Yllä olevassa taulukossa luetellut pakkaukset ovat korjauspaketit, jotka vaaditaan vähintään lueteltujen haavoittuvuuksien korjaamiseksi. Uusimmat versiot esitetään yllä viitatuissa Julkaisutiedot-linkeissä.
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Nagamarimuthu yrityksestä Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)