Tiedotteen tunnus
Päivitetty viimeksi
25. syyskuuta 2023
Adobe Experience Managerin tietoturvapäivitykset | APSB23-31
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB23-31 |
13. kesäkuuta 2023 |
3 |
Yhteenveto
Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Nämä päivitykset ratkaisevat Adobe Experience Managerin haavoittuvuuksia, jotka on luokiteltu tärkeiksi ja kohtalaisiksi, mukaan lukien kolmansien osapuolten riippuvuudet. Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen, palvelunestoon ja tietoturvaominaisuuksien ohittamiseen.
Alttiit tuoteversiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki |
| 6.5.16.0 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service -versio 2023.4 |
Kaikki | 3 | Julkaisutiedot |
| 6.5.17.0 | Kaikki |
3 |
AEM 6.5 Service Packin julkaisutiedot |
Huomautus:
Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.
Huomautus:
Experience Managerin tietoturvanäkökohdat:
AEM as a Cloud Service -palvelun suojaukseen liittyvät näkökohdat
Anonyymi käyttöoikeuksien vahvistuspaketti
Huomautus:
Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.4, 6.3 ja 6.2 liittyen.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numero |
|
|---|---|---|---|---|---|
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29304 |
|
URL-osoitteen uudelleenohjaus epäluotettavalle sivustolle (”Avoin uudelleenohjaus”) (CWE-601) |
Tietoturvaominaisuuden ohitus |
Kohtalainen |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-29307 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29322 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29302 |
Riippuvuussuhteiden päivitykset
| CVE | Riippuvuussuhde |
Haavoittuvuuden vaikutus |
Versiot |
| CVE-2023-26513 |
Apache Sling |
Palvelunesto |
AEM CS AEM 6.5.16.0 ja aiemmat versiot |
| CVE-2022-26336 |
Apache POI |
Palvelunesto |
AEM CS AEM 6.5.16.0 ja aiemmat versiot |
Huomautus:
Jos asiakas käyttää Apache httpd:tä välityspalvelimella muulla kuin oletuskokoonpanolla, hän voi joutua alttiiksi haavoittuvuudelle CVE-2023-25690 – lisätietoja on täällä: https://httpd.apache.org/security/vulnerabilities_24.html
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Jim Green (green-jam) – CVE-2023-29304, CVE-2023-29302
- Osama Yousef (osamayousef) – CVE-2023-29307
- Lorenzo Pirondini – CVE-2023-29322
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Versiot
19. syyskuuta 2023 – Päivitys riippuvuuksiin
11. heinäkuuta 2023 – Päivitykset riippuvuuksiin päivitetty.
15. kesäkuuta 2023 – Tutkija ”lpi” muutettu muotoon ”Lorenzo Pirondini”.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
