Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset | APSB20-56

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB20-56 

8. syyskuuta 2020 

2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin (AEM) ja AEM Forms -lisäosapakettiin. Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia.Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen JavaScriptin suoritukseen selaimessa.


Alttiit tuoteversiot

Tuote Versio Ympäristö
Adobe Experience Manager
6.5.5.0 ja aiemmat versiot 
Kaikki
6.4.8.1 ja aiemmat versiot 
Kaikki 
6.3.3.8 ja aiemmat versiot 
Kaikki 
6.2 SP1-CFP20 ja aiemmat versiot 
Kaikki 
AEM Forms -lisäosa
AEM Forms Service Pack 5 ja aiemmat versiot 
Kaikki 

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Versio

Ympäristö

Prioriteetti

Saatavuus

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Kaikki

2

AEM 6.5 Service Packin julkaisutiedot   

6.4.8.2 

Kaikki

2

AEM 6.4 Cumulative Fix Packin julkaisutiedot  

AEM Forms -lisäosa
AEM Forms Service Pack 6
Kaikki
2
AEM Forms -versiot 
Huomautus:

Adobe Experience Manager 6.5.6.0 on tärkeä päivitys. Se sisältää uusia ominaisuuksia, asiakkaiden pyytämiä keskeisiä parannuksia sekä suorituskykyyn, vakauteen ja tietoturvaan liittyviä parannuksia, jotka on julkaistu sen jälkeen, kun versio 6.5 tuotiin yleisesti saataville huhtikuussa 2019.  Se voidaan asentaa Adobe Experience Manager 6.5:n päälle.

Huomautus:

AEM Cumulative Fix Pack 6.4.8.2 on tärkeä päivitys. Se sisältää useita sisäisiä parannuksia ja asiakkaiden parannuksia, jotka on julkaistu sen jälkeen, kun AEM 6.4 Service Pack 8 (6.4.8.0) tuotiin yleisesti saataville maaliskuussa 2020. AEM Cumulative Fix Pack 6.4.8.2 tarvitsee toimiakseen AEM 6.4 Service Pack 8:n. Siksi sinun on asennettava AEM Cumulative Fix Pack 6.4.8.2 -paketti AEM 6.4 Service Pack 8:n asennuksen jälkeen.

Huomautus:

Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.3 ja 6.2 liittyen.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVE-numero 

Versiot
Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Kriittinen
CVE-2020-9732

AEM Forms SP5 ja aiemmat versiot

Suorittaminen tarpeettomilla käyttöoikeuksilla
Arkaluonteisten tietojen paljastuminen Tärkeä
CVE-2020-9733

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Kriittinen
CVE-2020-9734
AEM Forms SP5 ja aiemmat versiot
Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Tärkeä
CVE-2020-9735

AAEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Tärkeä
CVE-2020-9736

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Tärkeä
CVE-2020-9737

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Tärkeä

CVE-2020-9738

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Kriittinen
CVE-2020-9740

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Sivustojen välinen skriptaus (tallennettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Kriittinen
CVE-2020-9741
AEM Forms SP5 ja aiemmat versiot
Sivustojen välinen skriptaus (heijastettu)
Mielivaltainen JavaScriptin suoritus selaimessa
Kriittinen
CVE-2020-9742

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

HTML-koodin lisäys
Mielivaltainen HTML-koodin lisäys selaimessa
Tärkeä
CVE-2020-9743

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Riippuvuussuhteiden päivitykset

Riippuvuussuhde

Haavoittuvuuden vaikutus

Versiot

Handlebars.js

Mielivaltainen JavaScriptin suoritus selaimessa

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Lodash.js (poistettu AEM:stä)

Prototyypin saastuttaminen

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Log4j

Ei-luotettavien tietojen sarjoituksen purkaminen

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Dom4j

XXE:n (ulkoisen XML-elementin) lisäys

AEM 6.5.5.0 ja aiemmat versiot

AEM 6.4.8.1 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

AEM 6.2 SP1-CFP20 ja aiemmat versiot

Adobe-logo

Kirjaudu sisään tiliisi