Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset | APSB19-48

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB19-48

15.10.2019

2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat useita AEM-versioiden 6.3, 6.4 ja 6.5 haavoittuvuuksia, joiden onnistunut hyödyntäminen voi johtaa AEM-ympäristön luvattomaan käyttöön.  

Alttiit tuoteversiot

Tuote

Versio

Ympäristö

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Versio

Ympäristö

Prioriteetti

Saatavuus

 

Adobe Experience Manager

6.5

Kaikki

2

Julkaisut ja päivitykset

6.4

Kaikki

2

Julkaisut ja päivitykset

6.3

Kaikki

2

Julkaisut ja päivitykset

Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVE-numero 

Versiot Latauspaketti
XSS-pyyntöjen väärentäminen Arkaluonteisten tietojen paljastuminen Tärkeä

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Heijastettu sivustojen välinen skriptaus

Arkaluonteisten tietojen paljastuminen

 

Kohtalainen CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Tallennettu sivustojen välinen skriptaus Arkaluonteisten tietojen paljastuminen Tärkeä CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.4.0

Tallennettu sivustojen välinen skriptaus Käyttöoikeuksien laajennus Tärkeä 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Varmistuksen ohitus

 

 

Arkaluonteisten tietojen paljastuminen Tärkeä CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Service Pack -korjauspaketti versiolle 6.5 – AEM-6.5.2.0 

Ulkoisen XML-elementin lisäys

Arkaluonteisten tietojen paljastuminen

 

Tärkeä CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Sivustojen välinen skriptaus

Arkaluonteisten tietojen paljastuminen

 

Kohtalainen

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Service Pack -korjauspaketti versiolle 6.5 – AEM-6.5.2.0 

Heijastettu sivustojen välinen skriptaus

Arkaluonteisten tietojen paljastuminen

 

 

Kohtalainen

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.5.0

Service Pack -korjauspaketti versiolle 6.5 – AEM-6.5.2.0 

Heijastettu sivustojen välinen skriptaus

 

 

Arkaluonteisten tietojen paljastuminen

 

 

Kohtalainen

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.5.0

Service Pack -korjauspaketti versiolle 6.5 – AEM-6.5.2.0 

Ulkoisen XML-elementin lisäys

 

 

Arkaluonteisten tietojen paljastuminen

 

 

Tärkeä

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Service Pack -korjauspaketti versiolle 6.5 – AEM-6.5.2.0 

Ulkoisen XML-elementin lisäys

 

 

Arkaluonteisten tietojen paljastuminen

 

Tärkeä

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Service Pack -korjauspaketti versiolle 6.5 – AEM-6.5.2.0 

JavaScript-koodin lisäys

 

 

Mielivaltaisen koodin suoritus

 

 

Kriittinen

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6

Service Pack -korjauspaketti versiolle 6.4 – AEM-6.4.6.0

Service Pack -korjauspaketti versiolle 6.5 – AEM-6.5.2.0 

Huomautus:

JavaScript-koodin suoritus (CVE-2019-8088) vaikuttaa vain versioon 6.2.  Versiosta 6.3 alkaen JavaScriptin suorittamiseen käytetään erittäin hyvin eristettyä Rhino-moduulia, joka vähentää CVE-2019-8088:n vaikutusta hämätä palvelinpuolen pyynnön väärennöshyökkäyksiä (SSRF-hyökkäyksiä) ja palvelunestoa (DoS). 

Huomautus:

Huomaa: yllä olevassa taulukossa luetellut paketit ovat ne korjauspaketit, jotka vaaditaan vähintään lueteltujen haavoittuvuuksien korjaamiseksi.  Uusimmat versiot esitetään yllä viitatuissa Julkaisutiedot-linkeissä.

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087 ja CVE-2019-8088)

Versiot

15. lokakuuta 2019: Päivitetty CVE-tunnus haavoittuvuuksiin CVE-2019-8077–CVE-2019-8234.

11. maaliskuuta 2020: Lisätty huomautus, jolla selvennetään, että JavaScript-koodin suoritus (CVE-2019-8088) koskee vain AEM 6.2:ta.  

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14.–16.10. Miami Beach ja verkossa

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14.–16.10. Miami Beach ja verkossa