Tiedotteen tunnus
Adobe Experience Managerin tietoturvapäivitykset | APSB19-48
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
APSB19-48 |
15.10.2019 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat useita AEM-versioiden 6.3, 6.4 ja 6.5 haavoittuvuuksia, joiden onnistunut hyödyntäminen voi johtaa AEM-ympäristön luvattomaan käyttöön.
Alttiit tuoteversiot
Tuote |
Versio |
Ympäristö |
---|---|---|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Kaikki |
2 |
|
6.4 |
Kaikki |
2 |
||
6.3 |
Kaikki |
2 |
Ota yhteyttä Adoben asiakastukeen, jos tarvitset apua aiempien AEM-versioiden kanssa.
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVE-numero |
Versiot | Latauspaketti |
---|---|---|---|---|---|
XSS-pyyntöjen väärentäminen | Arkaluonteisten tietojen paljastuminen | Tärkeä | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Heijastettu sivustojen välinen skriptaus | Arkaluonteisten tietojen paljastuminen
|
Kohtalainen | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Tallennettu sivustojen välinen skriptaus | Arkaluonteisten tietojen paljastuminen | Tärkeä | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Tallennettu sivustojen välinen skriptaus | Käyttöoikeuksien laajennus | Tärkeä | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Varmistuksen ohitus
|
Arkaluonteisten tietojen paljastuminen | Tärkeä | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Ulkoisen XML-elementin lisäys | Arkaluonteisten tietojen paljastuminen
|
Tärkeä | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Sivustojen välinen skriptaus | Arkaluonteisten tietojen paljastuminen
|
Kohtalainen
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Heijastettu sivustojen välinen skriptaus | Arkaluonteisten tietojen paljastuminen
|
Kohtalainen
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Heijastettu sivustojen välinen skriptaus
|
Arkaluonteisten tietojen paljastuminen
|
Kohtalainen
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Ulkoisen XML-elementin lisäys
|
Arkaluonteisten tietojen paljastuminen
|
Tärkeä
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
Ulkoisen XML-elementin lisäys
|
Arkaluonteisten tietojen paljastuminen
|
Tärkeä
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
JavaScript-koodin lisäys
|
Mielivaltaisen koodin suoritus
|
Kriittinen
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Kumulatiivinen korjaustiedosto versioille 6.3 SP3 – AEM-6.3.3.6 |
JavaScript-koodin suoritus (CVE-2019-8088) vaikuttaa vain versioon 6.2. Versiosta 6.3 alkaen JavaScriptin suorittamiseen käytetään erittäin hyvin eristettyä Rhino-moduulia, joka vähentää CVE-2019-8088:n vaikutusta hämätä palvelinpuolen pyynnön väärennöshyökkäyksiä (SSRF-hyökkäyksiä) ja palvelunestoa (DoS).
Huomaa: yllä olevassa taulukossa luetellut paketit ovat ne korjauspaketit, jotka vaaditaan vähintään lueteltujen haavoittuvuuksien korjaamiseksi. Uusimmat versiot esitetään yllä viitatuissa Julkaisutiedot-linkeissä.
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:
Lorenzo Pirondini (Netcentric, Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084 ja CVE-2019-8085)
Pankaj Upadhyay, T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087 ja CVE-2019-8088)
Versiot
15. lokakuuta 2019: Päivitetty CVE-tunnus haavoittuvuuksiin CVE-2019-8077–CVE-2019-8234.
11. maaliskuuta 2020: Lisätty huomautus, jolla selvennetään, että JavaScript-koodin suoritus (CVE-2019-8088) koskee vain AEM 6.2:ta.