Adobe Experience Manager 的安全性更新已推出

發佈日期: 2016 年 9 月 2 日

上次更新日期: 2016 年 2 月 12 日

弱點識別碼: APSB16-05

優先順序: 2

CVE 編號: CVE-2016-0955、CVE-2016-0956、CVE-2016-0957、CVE-2016-0958

平台: Windows、Unix、Linux 和 OS X

摘要

Adobe 已發行 Adobe Experience Manager 的安全性修補程式。這些修補程式可解決可能導致資訊揭露的重要弱點。

受影響的版本

產品 受影響的版本 平台
  6.1.0 Windows、Unix、Linux 和 OS X
Adobe Experience Manager 6.0.0 Windows、Unix、Linux 和 OS X
  5.6.1 Windows、Unix、Linux 和 OS X

解決方法

Adobe 建議採用內部部署的客戶安裝下方引用的修補程式。此外,客戶應檢閱並實施 6.16.05.6.1 版安全性檢查清單中概述的步驟。

產品 版本 優先順序分級 上市情況
  6.1.0
2 修補程式 (6.1.0)
Adobe Experience Manager 6.0.0 2 修補程式 (6.0)
  5.6.1 2 修補程式 (5.6.1)

如需可用修補程式的詳細資訊,請造訪 Adobe Experience Manager 說明頁面

弱點詳細資料

說明 CVE 下載套件
  • 修補程式 8364 包含 Java 還原序列化問題緩和代理程式
CVE-2016-0958

6.1 的修補程式
6.0 的修補程式
5.6.1 的修補程式

  • 修補程式 8651 可解決可能導致資訊揭露的跨網站指令碼執行弱點 - 只影響 6.1.0 版
CVE-2016-0955

6.1 的修補程式

  • 修補程式 6445 可解決會影響 Apache Sling Servlets Post 2.3.6 及舊版的資訊揭露弱點
CVE-2016-0956

6.1 的修補程式
6.0 的修補程式
5.6.1 的修補程式

  • Dispatcher 4.1.5 和以上版本可解決可能被用來規避發送器規則的 URL 篩選器略過弱點
CVE-2016-0957 Dispatcher

鳴謝

Adobe 在此感謝以下個人提報這些問題,並與 Adobe 合作協助保護客戶的安全:

  • Compass Security Schweiz AG 的 Damian Pfammatter (CVE-2016-0955)
  • Ateeq ur Rehman Khan - Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

修訂

2016 年 2 月 12 日:

  • 新增「及舊版」,釐清 CVE-2016-0956 會影響到 Apache Sling Servlets Post 2.3.6 以及舊版。 
  • 修正 CVE-2016-0955 的說明,釐清僅影響 6.1.0 版。CVE-2016-0955 不影響 AEM 6.1.0 之前的版本。 
  • 以表格格式重新編排「弱點詳細資料」區段,並加入每個修補程式之下載套件的 URL。