Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset | APSB20-72

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB20-72

8. joulukuuta 2020 

2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin (AEM) ja AEM Forms -lisäosapakettiin. Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia.


Alttiit tuoteversiot

Tuote Versio Ympäristö

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Kaikki
6.5.6.0 ja aiemmat versiot
Kaikki
6.4.8.2 ja aiemmat versiot
Kaikki 
6.3.3.8 ja aiemmat versiot
Kaikki 
6.2 SP1-CFP20 ja aiemmat versiot 
Kaikki 
AEM Forms -lisäosa
AEM Forms Service Pack 6 -lisäosapaketti AEM 6.5.6.0:lle 
Kaikki 
AEM Forms -lisäosapaketti AEM 6.4 Service Pack 8 Cumulative Fix Pack 2:lle (6.4.8.2)
Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Versio

Ympäristö

Prioriteetti

Saatavuus

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Kaikki 2 Julkaisutiedot

6.5.7.0 

Kaikki

2

AEM 6.5 Service Packin julkaisutiedot   

6.4.8.3

Kaikki

2

AEM 6.4 Cumulative Fix Packin julkaisutiedot  

 

AEM Forms -lisäosa

AEM Forms Service Pack 7
Kaikki
2
AEM Forms -versiot 
AEM 6.4 Service Pack 8 CFP 3
Kaikki 2 AEM Forms -versiot
Huomautus:

Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.  

Huomautus:

Adobe Experience Manager 6.5.7.0 on tärkeä päivitys. Se sisältää uusia ominaisuuksia, asiakkaiden pyytämiä keskeisiä parannuksia sekä suorituskykyyn, vakauteen ja tietoturvaan liittyviä parannuksia, jotka on julkaistu sen jälkeen, kun versio 6.5 tuotiin yleisesti saataville huhtikuussa 2019.  Se voidaan asentaa Adobe Experience Manager 6.5:n päälle.

Huomautus:

AEM Cumulative Fix Pack 6.4.8.3 on tärkeä päivitys. Se sisältää useita sisäisiä parannuksia ja asiakkaiden parannuksia, jotka on julkaistu sen jälkeen, kun AEM 6.4 Service Pack 8 (6.4.8.0) tuotiin yleisesti saataville maaliskuussa 2020. AEM Cumulative Fix Pack 6.4.8.3 tarvitsee toimiakseen AEM 6.4 Service Pack 8:n. Siksi sinun on asennettava AEM Cumulative Fix Pack 6.4.8.3 -paketti AEM 6.4 Service Pack 8:n asennuksen jälkeen.

Huomautus:

Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.3 ja 6.2 liittyen.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVE-numero 

Versiot

Sokea palvelinpuolen pyynnön väärennös

Arkaluonteisten tietojen paljastuminen

Tärkeä

CVE-2020-24444

AEM Forms SP6 -lisäosa AEM 6.5.6.0:lle ja aiemmat versiot

AEM Forms -lisäosapaketti AEM 6.4 Service Pack 8 Cumulative Fix Pack 2:lle (6.4.8.2) ja aiemmat versiot

Sivustojen välinen skriptaus (tallennettu)

Mielivaltainen JavaScriptin suoritus selaimessa

Kriittinen

CVE-2020-24445

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

Riippuvuussuhteiden päivitykset

Riippuvuussuhde
Haavoittuvuuden vaikutus
Versiot
Apache Abdera
Resurssien käyttö

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Apache Batik
Palvelinpuolen pyynnön väärennös

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Apache Commons Compress
Resurssien käyttö

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Apache OpenNLP
Ulkoisen XML-elementin (XXE) lisäys

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Apache Sling Scheduler Service
Ulkoisen XML-elementin (XXE) lisäys

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Apache Xerces2
Resurssien käyttö

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

CKEditor
Mielivaltainen JavaScriptin suoritus selaimessa

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Eclipse Jetty
Resurssien käyttö

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Google-oauth-client
Virheellinen valtuutus

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Handlebars.js
Prototyypin saastuttaminen

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Jackson Mapper
Ulkoisen XML-elementin (XXE) lisäys

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

jQuery
Mielivaltainen JavaScriptin suoritus selaimessa

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Spring Framework
Hakemiston läpikäynti

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Zip4j
Hakemiston läpikäynti

AEM CS

AEM 6.5.6.0 ja aiemmat versiot

AEM 6.4.8.2 ja aiemmat versiot

AEM 6.3.3.8 ja aiemmat versiot

Kiitokset

Adobe haluaa kiittää Storebrand Groupin (Norja) Frank Karlstrømiä ja Kenny Janssonia (CVE-2020-24444) yhteistyöstä Adoben kanssa asiakkaidemme suojaamisessa.

Versiot

13. tammikuuta 2021: Poistettu AEM 6.4.8.2 ja 6.3.3.8 versioiden luettelosta, jota CVE-2020-24445 on vaikuttanut.  

Adobe-logo

Kirjaudu sisään tiliisi