Adoben tietoturvatiedote

Hae

Päivitetty viimeksi

Adobe Experience Managerin tietoturvapäivitykset | APSB17-41

Tiedotteen tunnus	Julkaisupäivä	Prioriteetti
APSB17-41	14. marraskuuta 2017	3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin. Nämä päivitykset korjaavat heijastetun sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden, joka on luokiteltu keskitasoiseksi ja joka koskee HtmlRendererServlet-servletiä (CVE-2017-3109), tietojen paljastumiseen liittyvän haavoittuvuuden (CVE-2017-3111), joka on luokiteltu tärkeäksi ja joka aiheuttaa tietyissä tilanteissa arkaluonteisen tunnisteen sisällyttämisen http GET -pyyntöön, sekä sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden (CVE-2017-11296), joka koskee Apache Sling Servlets Post 2.3.20:ta ja joka on luokiteltu tärkeäksi.

Alttiit tuoteversiot

Tuote	Versio	Ympäristö
Adobe Experience Manager	6.3 6.2 6.1 6.0	Kaikki

Huomautus:

HtmlRendererServlet pitää poistaa käytöstä tuotantojärjestelmissä. Katso lisätietoja kohdasta AEM:n suorittaminen tuotantovalmiustilassa.

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote	Versio	Ympäristö	Prioriteetti	Saatavuus
Adobe Experience Manager	6.3	Kaikki	3	Julkaisutiedot
	6.2	Kaikki	3	Julkaisutiedot
	6.1	Kaikki	3	Julkaisutiedot
	6.0	Kaikki	3	Julkaisutiedot

Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka	Haavoittuvuuden vaikutus	Vakavuus	CVE-numerot	Versio, jota haavoittuvuus koskee	Latauspaketti
Heijastettu sivustojen välinen skriptaus	Tietojen paljastuminen	Kohtalainen	CVE-2017-3109	AEM 6.3 ja aiemmat versiot	Korjaustiedosto 17136 versiolle 6.0.0 Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 – AEM-6.1-SP2-CFP9 Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 – AEM-6.2-SP1-CFP5 AEM 6.3 Service Pack 1 (6.3.1.0)
Arkaluonteinen tunniste HTTP GET -pyynnössä	Tietojen paljastuminen	Tärkeä	CVE-2017-3111	AEM 6.1, AEM 6.2	Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 - AEM-6.1-SP2-CFP12 Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 - AEM-6.2-SP1-CFP2
Sivustojen välinen skriptaus	Tietojen paljastuminen	Tärkeä	CVE-2017-11296	AEM 6.3 ja aiemmat versiot	Korjaustiedosto 18963 versiolle 6.0.0 Kumulatiivinen korjaustiedosto versiolle 6.1 SP2 – AEM-6.1-SP2-CFP12 Kumulatiivinen korjaustiedosto versiolle 6.2 SP1 – AEM-6.2-SP1-CFP6 Kumulatiivinen korjaustiedosto versiolle AEM-CFP-6.3.0.2

Huomautus:

Yllä olevassa taulukossa luetellut pakkaukset ovat korjauspaketit, jotka vaaditaan vähintään lueteltujen haavoittuvuuksien korjaamiseksi. Uusimmat versiot esitetään yllä viitatuissa Julkaisutiedot-linkeissä.

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

Nagamarimuthu yrityksestä Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)

Kirjaudu sisään tiliisi