Tiedotteen tunnus
Päivitetty viimeksi
6. toukokuuta 2021
Adobe Experience Managerin tietoturvapäivitykset | APSB17-41
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB17-41 |
14. marraskuuta 2017 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin. Nämä päivitykset korjaavat heijastetun sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden, joka on luokiteltu keskitasoiseksi ja joka koskee HtmlRendererServlet-servletiä (CVE-2017-3109), tietojen paljastumiseen liittyvän haavoittuvuuden (CVE-2017-3111), joka on luokiteltu tärkeäksi ja joka aiheuttaa tietyissä tilanteissa arkaluonteisen tunnisteen sisällyttämisen http GET -pyyntöön, sekä sivustojen välisillä komentosarjoilla suoritettaviin hyökkäyksiin liittyvän haavoittuvuuden (CVE-2017-11296), joka koskee Apache Sling Servlets Post 2.3.20:ta ja joka on luokiteltu tärkeäksi.
Alttiit tuoteversiot
|
Tuote |
Versio |
Ympäristö |
|---|---|---|
|
Adobe Experience Manager |
6.3 6.2 6.1 6.0 |
Kaikki |
Huomautus:
HtmlRendererServlet pitää poistaa käytöstä tuotantojärjestelmissä. Katso lisätietoja kohdasta AEM:n suorittaminen tuotantovalmiustilassa.
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
| Tuote | Versio | Ympäristö | Prioriteetti | Saatavuus |
|---|---|---|---|---|
| Adobe Experience Manager |
6.3 |
Kaikki | 3 | Julkaisutiedot |
| 6.2 | Kaikki | 3 | Julkaisutiedot |
|
| 6.1 | Kaikki | 3 | Julkaisutiedot |
|
| 6.0 | Kaikki | 3 | Julkaisutiedot |
Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVE-numerot |
Versio, jota haavoittuvuus koskee |
Latauspaketti |
|---|---|---|---|---|---|
|
Heijastettu sivustojen välinen skriptaus |
Tietojen paljastuminen |
Kohtalainen |
CVE-2017-3109 |
AEM 6.3 ja aiemmat versiot |
|
|
Arkaluonteinen tunniste HTTP GET -pyynnössä |
Tietojen paljastuminen |
Tärkeä |
CVE-2017-3111 |
AEM 6.1, AEM 6.2 |
|
|
Sivustojen välinen skriptaus |
Tietojen paljastuminen |
Tärkeä |
CVE-2017-11296 |
AEM 6.3 ja aiemmat versiot |
Huomautus:
Yllä olevassa taulukossa luetellut pakkaukset ovat korjauspaketit, jotka vaaditaan vähintään lueteltujen haavoittuvuuksien korjaamiseksi. Uusimmat versiot esitetään yllä viitatuissa Julkaisutiedot-linkeissä.
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Nagamarimuthu yrityksestä Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)
