Adobe Experience Managerin tietoturvapäivitykset | APSB17-41
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB17-41 14. marraskuuta 2017
3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin. Nämä päivitykset korjaavat heijastetun sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden, joka on luokiteltu keskitasoiseksi ja joka koskee HtmlRendererServlet-servletiä (CVE-2017-3109), tietojen paljastumiseen liittyvän haavoittuvuuden (CVE-2017-3111), joka on luokiteltu tärkeäksi ja joka aiheuttaa tietyissä tilanteissa arkaluonteisen tunnisteen sisällyttämisen http GET -pyyntöön, sekä sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden (CVE-2017-11296), joka koskee Apache Sling Servlets Post 2.3.20:ta ja joka on luokiteltu tärkeäksi

Alttiit tuoteversiot

Tuote Versio Ympäristö
Adobe Experience Manager

6.3

6.2

6.1

6.0

Kaikki

Huomautus:

HtmlRendererServlet pitää poistaa käytöstä tuotantojärjestelmissä.  Katso lisätietoja kohdasta AEM:n suorittaminen tuotantovalmiustilassa

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Versio Ympäristö Prioriteetti Saatavuus
Adobe Experience Manager
6.3
Kaikki 3 Julkaisutiedot
6.2 Kaikki 3 Julkaisutiedot
6.1 Kaikki 3 Julkaisutiedot
6.0 Kaikki 3 Julkaisutiedot

Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numerot Versio, jota haavoittuvuus koskee Latauspaketti
Heijastettu sivustojen välinen skriptaus Tietojen paljastuminen
Kohtalainen
CVE-2017-3109
AEM 6.3 ja aiemmat versiot

Korjaustiedosto 17136 versiolle 6.0.0

Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 – AEM-6.1-SP2-CFP9

Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 – AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Arkaluonteinen tunniste HTTP GET -pyynnössä Tietojen paljastuminen Tärkeä CVE-2017-3111
AEM 6.1, AEM 6.2 Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 - AEM-6.1-SP2-CFP12 
 
Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 - AEM-6.2-SP1-CFP2
Sivustojen välinen skriptaus
Tietojen paljastuminen Tärkeä CVE-2017-11296 AEM 6.3 ja aiemmat versiot

Korjaustiedosto 18963 versiolle 6.0.0

Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 – AEM-6.1-SP2-CFP12

Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 – AEM-6.2-SP1-CFP6

Kumulatiivinen korjaustiedosto versiolle AEM-CFP-6.3.0.2

 

Huomautus:

Yllä olevassa taulukossa luetellut pakkaukset ovat korjauspaketit, jotka vaaditaan vähintään lueteltujen haavoittuvuuksien korjaamiseksi.  Uusimmat versiot esitetään yllä viitatuissa Julkaisutiedot-linkeissä.

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:  

  • Nagamarimuthu yrityksestä Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)