Tiedotteen tunnus
Adobe Experience Managerin tietoturvapäivitykset | APSB20-72
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
APSB20-72 |
8. joulukuuta 2020 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä Adobe Experience Manageriin (AEM) ja AEM Forms -lisäosapakettiin. Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia.
Alttiit tuoteversiot
Tuote | Versio | Ympäristö |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki |
6.5.6.0 ja aiemmat versiot |
Kaikki |
|
6.4.8.2 ja aiemmat versiot |
Kaikki |
|
6.3.3.8 ja aiemmat versiot |
Kaikki |
|
6.2 SP1-CFP20 ja aiemmat versiot |
Kaikki |
|
AEM Forms -lisäosa |
AEM Forms Service Pack 6 -lisäosapaketti AEM 6.5.6.0:lle |
Kaikki |
AEM Forms -lisäosapaketti AEM 6.4 Service Pack 8 Cumulative Fix Pack 2:lle (6.4.8.2) |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki | 2 | Julkaisutiedot |
6.5.7.0 |
Kaikki |
2 |
AEM 6.5 Service Packin julkaisutiedot |
|
6.4.8.3 |
Kaikki |
2 |
||
AEM Forms -lisäosa |
AEM Forms Service Pack 7 |
Kaikki |
2 |
AEM Forms -versiot |
AEM 6.4 Service Pack 8 CFP 3 |
Kaikki | 2 | AEM Forms -versiot |
Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.
Adobe Experience Manager 6.5.7.0 on tärkeä päivitys. Se sisältää uusia ominaisuuksia, asiakkaiden pyytämiä keskeisiä parannuksia sekä suorituskykyyn, vakauteen ja tietoturvaan liittyviä parannuksia, jotka on julkaistu sen jälkeen, kun versio 6.5 tuotiin yleisesti saataville huhtikuussa 2019. Se voidaan asentaa Adobe Experience Manager 6.5:n päälle.
AEM Cumulative Fix Pack 6.4.8.3 on tärkeä päivitys. Se sisältää useita sisäisiä parannuksia ja asiakkaiden parannuksia, jotka on julkaistu sen jälkeen, kun AEM 6.4 Service Pack 8 (6.4.8.0) tuotiin yleisesti saataville maaliskuussa 2020. AEM Cumulative Fix Pack 6.4.8.3 tarvitsee toimiakseen AEM 6.4 Service Pack 8:n. Siksi sinun on asennettava AEM Cumulative Fix Pack 6.4.8.3 -paketti AEM 6.4 Service Pack 8:n asennuksen jälkeen.
Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.3 ja 6.2 liittyen.
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVE-numero |
Versiot |
---|---|---|---|---|
Sokea palvelinpuolen pyynnön väärennös |
Arkaluonteisten tietojen paljastuminen |
Tärkeä |
CVE-2020-24444 |
AEM Forms SP6 -lisäosa AEM 6.5.6.0:lle ja aiemmat versiot AEM Forms -lisäosapaketti AEM 6.4 Service Pack 8 Cumulative Fix Pack 2:lle (6.4.8.2) ja aiemmat versiot |
Sivustojen välinen skriptaus (tallennettu) |
Mielivaltainen JavaScriptin suoritus selaimessa |
Kriittinen |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 ja aiemmat versiot |
Riippuvuussuhteiden päivitykset
Riippuvuussuhde |
Haavoittuvuuden vaikutus |
Versiot |
Apache Abdera |
Resurssien käyttö |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Apache Batik |
Palvelinpuolen pyynnön väärennös |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Apache Commons Compress |
Resurssien käyttö |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Apache OpenNLP |
Ulkoisen XML-elementin (XXE) lisäys |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Apache Sling Scheduler Service |
Ulkoisen XML-elementin (XXE) lisäys |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Apache Xerces2 |
Resurssien käyttö |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
CKEditor |
Mielivaltainen JavaScriptin suoritus selaimessa |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Eclipse Jetty |
Resurssien käyttö |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Google-oauth-client |
Virheellinen valtuutus |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Handlebars.js |
Prototyypin saastuttaminen |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Jackson Mapper |
Ulkoisen XML-elementin (XXE) lisäys |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
jQuery |
Mielivaltainen JavaScriptin suoritus selaimessa |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Spring Framework |
Hakemiston läpikäynti |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Zip4j |
Hakemiston läpikäynti |
AEM CS AEM 6.5.6.0 ja aiemmat versiot AEM 6.4.8.2 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Kiitokset
Adobe haluaa kiittää Storebrand Groupin (Norja) Frank Karlstrømiä ja Kenny Janssonia (CVE-2020-24444) yhteistyöstä Adoben kanssa asiakkaidemme suojaamisessa.
Versiot
13. tammikuuta 2021: Poistettu AEM 6.4.8.2 ja 6.3.3.8 versioiden luettelosta, jota CVE-2020-24445 on vaikuttanut.