Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset | APSB17-41

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB17-41

14. marraskuuta 2017

3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin. Nämä päivitykset korjaavat heijastetun sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden, joka on luokiteltu keskitasoiseksi ja joka koskee HtmlRendererServlet-servletiä (CVE-2017-3109), tietojen paljastumiseen liittyvän haavoittuvuuden (CVE-2017-3111), joka on luokiteltu tärkeäksi ja joka aiheuttaa tietyissä tilanteissa arkaluonteisen tunnisteen sisällyttämisen http GET -pyyntöön, sekä sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden (CVE-2017-11296), joka koskee Apache Sling Servlets Post 2.3.20:ta ja joka on luokiteltu tärkeäksi

Alttiit tuoteversiot

Tuote

Versio

Ympäristö

Adobe Experience Manager

6.3

6.2

6.1

6.0

Kaikki

Huomautus:

HtmlRendererServlet pitää poistaa käytöstä tuotantojärjestelmissä.  Katso lisätietoja kohdasta AEM:n suorittaminen tuotantovalmiustilassa

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Versio Ympäristö Prioriteetti Saatavuus
Adobe Experience Manager
6.3
Kaikki 3 Julkaisutiedot
6.2 Kaikki 3 Julkaisutiedot
6.1 Kaikki 3 Julkaisutiedot
6.0 Kaikki 3 Julkaisutiedot

Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVE-numerot

Versio, jota haavoittuvuus koskee

Latauspaketti

Heijastettu sivustojen välinen skriptaus

Tietojen paljastuminen

Kohtalainen

CVE-2017-3109

AEM 6.3 ja aiemmat versiot

Arkaluonteinen tunniste HTTP GET -pyynnössä

Tietojen paljastuminen

Tärkeä

CVE-2017-3111

AEM 6.1, AEM 6.2

Sivustojen välinen skriptaus

Tietojen paljastuminen

Tärkeä

CVE-2017-11296

AEM 6.3 ja aiemmat versiot

Huomautus:

Yllä olevassa taulukossa luetellut pakkaukset ovat korjauspaketit, jotka vaaditaan vähintään lueteltujen haavoittuvuuksien korjaamiseksi.  Uusimmat versiot esitetään yllä viitatuissa Julkaisutiedot-linkeissä.

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:  

  • Nagamarimuthu yrityksestä Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa