Adoben tietoturvatiedote

Adobe Experience Managerin tietoturvapäivitykset | APSB22-40

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB22-40

13. syyskuuta 2022 

3

Yhteenveto

Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Näillä päivityksillä korjataan tärkeäksi luokitellut haavoittuvuudet.  Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen ja tietoturvaominaisuuksien ohittamiseen.

Alttiit tuoteversiot

Tuote Versio Ympäristö
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Kaikki
6.5.13.0 ja aiemmat versiot 
Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Versio

Ympäristö

Prioriteetti

Saatavuus

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Kaikki 3 Julkaisutiedot
6.5.14.0 
Kaikki

3

AEM 6.5 Service Packin julkaisutiedot 
Huomautus:

Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.  

Huomautus:

Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.4, 6.3 ja 6.2 liittyen.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVSS-peruspisteet 

CVE-numero 

Sivustojen välinen skriptaus (XSS)

(CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Sivustojen välinen skriptaus (XSS)

(CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Sivustojen välinen skriptaus (XSS)

(CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Turvallisen suunnittelun periaatteiden rikkominen (CWE-657)

Tietoturvaominaisuuden ohitus

Tärkeä

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Riippuvuussuhteiden päivitykset

Riippuvuussuhde
Haavoittuvuuden vaikutus
Versiot
xmlgraphics
Käyttöoikeuksien laajennus

AEM CS  

AEM 6.5.9.0 ja aiemmat versiot

ionetty
Käyttöoikeuksien laajennus

AEM CS  

AEM 6.5.9.0 ja aiemmat versiot

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa: 

  • Jim Green (green-jam) – CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Versiot

21. syyskuuta 2022: Lisätty tietoja haavoittuvuuksiin CVE-2022-38438 ja CVE-2022-38439

14.12.2021: Päivitettiin ilmoitusta CVE-2021-43762

16.12.2021: Korjattiin tiedotteen prioriteettitasoksi 2

29. joulukuuta 2021: päivitettiin kiitos haavoittuvuudesta CVE-2021-40722


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

 Adobe

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?