Tiedotteen tunnus
Päivitetty viimeksi
10. syyskuuta 2021
Adobe Experience Managerin tietoturvapäivitykset | APSB21-15
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB21-15 |
11. toukokuuta 2021 |
2 |
Yhteenveto
Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia. Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen JavaScriptin suoritukseen selaimessa.
Alttiit tuoteversiot
| Tuote | Versio | Ympäristö |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki |
| 6.5.7.0 ja aiemmat versiot |
Kaikki |
|
| 6.4.8.3 ja aiemmat versiot |
Kaikki |
|
| 6.3.3.8 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki | 2 | Julkaisutiedot |
6.5.8.0 |
Kaikki |
2 |
AEM 6.5 Service Packin julkaisutiedot | |
6.4.8.4 |
Kaikki |
2 |
Huomautus:
Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.
Huomautus:
AEM Cumulative Fix Pack 6.4.8.4 on tärkeä päivitys. Se sisältää useita sisäisiä parannuksia ja asiakkaiden parannuksia, jotka on julkaistu sen jälkeen, kun AEM 6.4 Service Pack 8 (6.4.8.0) tuotiin yleisesti saataville maaliskuussa 2020.
Huomautus:
Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.3 ja 6.2 liittyen.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVE-numero |
Versiot |
|---|---|---|---|---|
|
Sopimaton käyttöoikeuksien hallinta |
Sovelluksen palvelunesto |
Tärkeä |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
|
Sivustojen välinen skriptaus (tallennettu) |
Mielivaltainen JavaScriptin suoritus selaimessa |
Kriittinen |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Riippuvuussuhteiden päivitykset
| Riippuvuussuhde |
Haavoittuvuuden vaikutus |
Versiot |
| Commons-io |
Sopimaton käyttöoikeuksien hallinta |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| MetadataExtractor |
Hallitsematon resurssien kulutus |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| FasterXML Jackson Databind/Core |
Koodin etäsuoritus |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Eclipse Jetty |
Sopimaton käyttöoikeuksien hallinta |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Lucene Queryparser |
Koodin etäsuoritus |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Apache XML-RPC |
Mielivaltaisen koodin suoritus |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Zip4j |
Mielivaltaisen koodin suoritus |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Apache Directory LDAP API |
Sopimaton käyttöoikeuksien hallinta | AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Apache Sling |
Sopimaton käyttöoikeuksien hallinta | AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Apache Felix |
Mielivaltaisen koodin suoritus |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Apache Solr |
Virheelliset luku- ja kirjoitusoikeudet |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| Apache Tomcat |
Sopimaton käyttöoikeuksien hallinta |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
| jQuery |
Mielivaltaisen koodin suoritus |
AEM CS AEM 6.5.7.0 ja aiemmat versiot AEM 6.4.8.3 ja aiemmat versiot AEM 6.3.3.8 ja aiemmat versiot |
Kiitokset
Adobe kiittää netcentricin Thomas Hartmannia (CVE-2021-21083) näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa asiakkaidemme suojaamisessa.
