Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset | APSB21-39

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB21-39

8. kesäkuuta 2021 

2

Yhteenveto

Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat tärkeitä ja kohtalaisia haavoittuvuuksia.  Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaiseen JavaScriptin suoritukseen selaimessa.

Alttiit tuoteversiot

Tuote Versio Ympäristö

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Kaikki
6.5.8.0 ja aiemmat versiot
Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Versio

Ympäristö

Prioriteetti

Saatavuus

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Kaikki 2 Julkaisutiedot

6.5.9.0 

Kaikki

2

AEM 6.5 Service Packin julkaisutiedot 
Huomautus:

Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.  

Huomautus:

Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.3 ja 6.2 liittyen.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVSS-peruspisteet

CVE-numero 

Sivustojen välinen skriptaus (XSS)

(CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28625

Virheellinen valtuutus (CWE-285)

Sovelluksen palvelunesto

Kohtalainen

3.7

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2021-28626

Palvelinpuolen pyynnön väärennös (SSRF)

(CWE-918)

Tietoturvaominaisuuden ohitus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVE-2021-28627

Sivustojen välinen skriptaus (XSS)

(CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

6.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

CVE-2021-28628

Riippuvuussuhteiden päivitykset

Riippuvuussuhde
Haavoittuvuuden vaikutus
Versiot
Apache Xerces2
Sovelluksen palvelunesto

AEM CS 

AEM 6.5.8.0 ja aiemmat versiot

Apache Sling Sopimaton käyttöoikeuksien hallinta

AEM CS 

AEM 6.5.8.0 ja aiemmat versiot

Handlebars.js
Sopimaton käyttöoikeuksien hallinta

AEM CS 

AEM 6.5.8.0 ja aiemmat versiot

Uber Jar
Koodin etäsuoritus

AEM CS 

AEM 6.5.8.0 ja aiemmat versiot

jQuery
Sopimaton käyttöoikeuksien hallinta

AEM CS 

AEM 6.5.8.0 ja aiemmat versiot

Eclipse Jetty
Hallitsematon resurssien kulutus

AEM CS 

AEM 6.5.8.0 ja aiemmat versiot

Kiitokset

Adobe haluaa kiittää SignorRossia (CVE-2021-28627) tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa.  

Versiot

15. kesäkuuta 2021: Päivitetty CVSS-vektori CVE-2021-28626.


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?