Adobe 安全性公告

Adobe Experience Manager 的安全性更新已推出

發行日期:2016 年 12 月 13 日

上次更新日期:2016 年 12 月 14 日

弱點識別碼: APSB16-42

優先順序: 2

CVE 編號: CVE-2016-7882、CVE-2016-7883、CVE-2016-7884、CVE-2016-7885

平台: 所有平台

摘要

Adobe 已發佈 Adobe Experience Manager 的安全性更新。這些更新可解決三個跨網站指令碼攻擊可能會利用的重大輸入驗證問題 (CVE-2016-7882、CVE-2016-7883 和 CVE-2016-7884),且含有可保護使用者的更新,可防範跨網站偽造要求的重大弱點 (CVE-2016-7885)。

受影響的版本

產品 受影響的版本 平台
  6.2 全部
Adobe Experience Manager 6.1 全部
  6.0 全部

解決方法

Adobe 建議使用內部部署的客戶安裝下方提供的更新。此外,客戶應檢閱並實施 6.26.16.0 版安全性檢查清單中概述的步驟。

產品 版本 優先順序分級 上市情況
  6.2
2 版本說明
Adobe Experience Manager 6.1 2 版本說明
  6.0 2 版本說明

如需 AEM 舊版的協助,請連絡 Adobe 客戶服務

弱點詳細資料

說明 CVE 受影響的版本 下載套件

這些更新可解決 WCMDebug 篩選器中的重大輸入驗證問題,跨網站指令碼攻擊可能會利用此弱點。

CVE-2016-7882
6.2 及舊版 適用於 6.2 版的修補程式 12444
適用於 6.1 版 SP2 [0]
的修補程式 12444 適用於 6.0 版 SP3 的修補程式 12444

這些更新可解決建立啟動精靈的重大輸入驗證問題,跨網站指令碼攻擊可能會利用此弱點。

CVE-2016-7883
6.2 6.2 版修補程式 13062

這些更新可解決 DAM 建立資產的重大輸入驗證問題,跨網站指令碼攻擊可能會利用此弱點。

CVE-2016-7884
6.1 及舊版 6.1 SP2 版累積修補程式套件
6.0 SP3 版修補程式 13297

Jackrabbit 元件的更新可保護使用者防範跨網站偽造要求。

CVE-2016-7885 6.2 及舊版 適用於 6.2 的修補程式 13547
適用於 6.1 的修補程式 12817
適用於 6.0 的修補程式 12846

[0] 注意: 適用於 6.1 版 SP2 的修補程式 12444 包含在 AEM 6.1 SP2 CFP2 內。

鳴謝

Adobe 在此感謝 Daniel Hamid 回報 CVE-2016-7882,並與 Adobe 合作保障客戶安全。CVE-2016-7883、CVE-2016-7884 和 CVE-2016-7885 為匿名回報。

修訂

2016 年 12 月 14 日: 將受影響的平台修改為全部 (原先只限於 Windows、Unix、Linux 和 OS X)。還附上註解,載明修補程式 12444 原先包含在 AEM 6.1 SP2 CFP2 內。