Adobe 安全性公告

Adobe Experience Manager 的安全性修補程式已推出

發行日期:2016 年 8 月 9 日

弱點識別碼: APSB16-27

優先順序: 2

CVE 編號: CVE-2016-4168、CVE-2016-4169、CVE-2016-4170、CVE-2016-4253

平台: Windows、Unix、Linux 和 OS X

摘要

Adobe 已發行 Adobe Experience Manager 的安全性修補程式。這些修補程式可解決兩個重要輸入驗證問題 (可用於跨網站指令碼攻擊 [CVE-2016-4168 和 CVE-2016-4170])、一個備份功能中的重要弱點 (會導致資訊外洩 [CVE-2016-4253]),以及一個重要漏洞 (會向未經授權的使用者揭露稽核記錄事件 [CVE-2016-4169])。

受影響的版本

產品 受影響的版本 平台
  6.2 Windows、Unix、Linux 和 OS X
Adobe Experience Manager 6.1 Windows、Unix、Linux 和 OS X
  6.0 Windows、Unix、Linux 和 OS X
  5.6.1 Windows、Unix、Linux 和 OS X

解決方法

Adobe 建議採用內部部署的客戶安裝下方引用的修補程式。此外,客戶應檢閱並實施 6.26.16.05.6.1 版安全性檢查清單中概述的步驟。

產品 版本 優先順序分級 上市情況
  6.2
2 修補程式 (6.2)
Adobe Experience Manager 6.1 2 修補程式 (6.1)
  6.0 2 修補程式 (6.0)
  5.6.1 2 修補程式 (5.6.1)

如需可用修補程式的詳細資訊,請造訪 Adobe Experience Manager 說明頁面

弱點詳細資料

說明 CVE 受影響的版本 下載套件

這些修補程式可解決可能運用於跨網站指令碼攻擊的輸入驗證問題。

CVE-2016-4168
6.1 及舊版 適用於 6.1 的修補程式 9639
適用於 6.0 的修補程式 10767
適用於 5.6.1 的修補程式 10764

這些修補程式可解決可能會向未經授權使用者揭露稽核記錄事件的弱點。

CVE-2016-4169
6.2、6.1 和 6.0 適用於 6.2 的修補程式 10956
適用於 6.1 的修補程式 10768
適用於 6.0 的修補程式 10767

這些修補程式可解決可能運用於跨網站指令碼攻擊的輸入驗證問題。

CVE-2016-4170
6.2 及舊版 適用於 6.2 的修補程式 10936
適用於 6.1 的修補程式 10936
適用於 6.0 的修補程式 10936
適用於 5.6.1 的修補程式 10936

這些修補程式可解決備份功能中的一個弱點 (會導致資訊外洩)。

CVE-2016-4253 6.2 及舊版 適用於 6.2 的修補程式 10870
適用於 6.1 的修補程式 10870
適用於 6.0 的修補程式 10870
適用於 5.6.1 的修補程式 10870

鳴謝

Adobe 在此感謝以下個人提報這些問題,並與 Adobe 合作協助保護客戶的安全:

  • Raytheon Foreground Security 的 Adam Willard (CVE-2016-4168)
  • Ninad Sarang (@hbkninad) (CVE-2016-4169)
  • Franz Saller (CVE-2016-4170)
  • Kyle Lovett (CVE-2016-4253)