Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset | APSB21-103

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB21-103

14.12.2021 

2

Yhteenveto

Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia. Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen ja tietoturvaominaisuuksien ohittamiseen.

Alttiit tuoteversiot

Tuote Versio Ympäristö

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Kaikki
6.5.10.0 ja aiemmat versiot 
Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Versio

Ympäristö

Prioriteetti

Saatavuus

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Kaikki 2 Julkaisutiedot

6.5.11.0 

Kaikki

2

AEM 6.5 Service Packin julkaisutiedot 
Huomautus:

Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.  

Huomautus:

Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.4, 6.3 ja 6.2 liittyen.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVSS-peruspisteet 

CVE-numero 

Sivustojen välinen skriptaus (XSS)

(CWE-79)

Mielivaltaisen koodin suoritus

Kriittinen

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43761

Sopimaton XML:n ulkoisen kohteen viitteen rajoitus (XXE) (CWE-611)

Mielivaltaisen koodin suoritus

Kriittinen

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-40722

Virheellinen syötteen tarkistus (CWE-20)

Tietoturvaominaisuuden ohitus

Tärkeä

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVE-2021-43762

Sivustojen välinen skriptaus (XSS)

(CWE-79)

Mielivaltaisen koodin suoritus

Kriittinen

8.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43764

Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Kriittinen

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N



CVE-2021-43765

Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Kriittinen

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44176

Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Kriittinen

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

CVE-2021-44177

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-44178

Riippuvuussuhteiden päivitykset

Riippuvuussuhde
Haavoittuvuuden vaikutus
Versiot
xmlgraphics
Käyttöoikeuksien laajennus

AEM CS  

AEM 6.5.9.0 ja aiemmat versiot

ionetty
Käyttöoikeuksien laajennus

AEM CS  

AEM 6.5.9.0 ja aiemmat versiot

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa: 

  • BASF - CVE-2021-44178, CVE-2021-44177, CVE-2021-44176, CVE-2021-43765, CVE-2021-43764



 

Versiot

14.12.2021: Päivitettiin ilmoitusta CVE-2021-43762

16.12.2021: Korjattiin tiedotteen prioriteettitasoksi 2

29. joulukuuta 2021: päivitettiin kiitos haavoittuvuudesta CVE-2021-40722


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX 2024

Adobe MAX
Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa

Adobe MAX

Luovuuskonferenssi

14.–16.10. Miami Beach ja verkossa