安全性公告 ID
發佈 Adobe Experience Manager 的安全性更新 | APSB20-72
|
發佈日期 |
優先順序 |
---|---|---|
APSB20-72 |
2020 年 12 月 8 日 |
2 |
摘要
受影響的產品版本
產品 | 版本 | 平台 |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
6.5.6.0 及舊版 |
全部 |
|
6.4.8.2 及舊版 |
全部 |
|
6.3.3.8 及舊版 |
全部 |
|
6.2 SP1-CFP20 (含) 以前版本 |
全部 |
|
AEM Forms 附加元件 |
AEM 6.5.6.0 的 AEM Forms Service Pack 6 附加元件套件 |
全部 |
AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) 的 AEM Forms 附加元件套件 |
全部 |
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:
產品 |
版本 |
平台 |
優先順序 |
上市情況 |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 | 2 | 發行說明 |
6.5.7.0 |
全部 |
2 |
AEM 6.5 Service Pack 發行說明 |
|
6.4.8.3 |
全部 |
2 |
||
AEM Forms 附加元件 |
AEM Forms Service Pack 7 |
全部 |
2 |
AEM Forms 發行說明 |
AEM 6.4 Service Pack 8 CFP 3 |
全部 | 2 | AEM Forms 發行說明 |
若客戶執行的是 Adobe Experience Manager 的 Cloud Service,系統會自動接收更新,包括新功能以及安全性與功能錯誤修正。
Adobe Experience Manager 6.5.7.0 是一項重要更新,不僅內含 2019 年 4 月 6.5 版正式發行以來的全新功能,應重要客戶要求所推出的改善項目,並提升了效能、穩定性以及安全性。 此更新能在 Adobe Experience Manager 6.5 上進行安裝。
AEM Cumulative Fix Pack 6.4.8.3 是一項重要更新,內含 AEM 6.4 Service Pack 8 (6.4.8.0) 自 2020 年 3 月正式發行以來多項內部與客戶的修正程式。AEM Cumulative Fix Pack 6.4.8.3 相依於 AEM 6.4 Service Pack 8。因此,安裝 AEM Cumulative Fix Pack 6.4.8.3 套件前,請先安裝 AEM 6.4 Service Pack 8。
若需尋求 AEM 6.3 和 6.2 等版本的相關協助,請洽詢 Adobe 客戶服務。
弱點詳細資料
弱點類別 |
弱點影響 |
嚴重性 |
CVE 編號 |
受影響的版本 |
---|---|---|---|---|
偽造盲目式伺服器端要求 |
揭露敏感資訊 |
重要 |
CVE-2020-24444 |
AEM 6.5.6.0 的 AEM Forms SP6 附加元件 和舊版 AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) (含) 以前版本的 AEM Forms 附加元件套件 |
跨網站指令碼 (已儲存) |
在瀏覽器中任意執行 JavaScript |
重大 |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 (含) 以前版本 |
相依性更新
相依性 |
弱點影響 |
受影響的版本 |
Apache Abdera |
資源消耗 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Apache Batik |
伺服器端偽造要求 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Apache Commons Compress |
資源消耗 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Apache OpenNLP |
XML 外部實體 (XXE) 插入 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Apache Sling Scheduler Service |
XML 外部實體 (XXE) 插入 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Apache Xerces2 |
資源消耗 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
CKEditor |
在瀏覽器中任意執行 JavaScript |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Eclipse Jetty |
資源消耗 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Google-oauth-client |
不當授權 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Handlebars.js |
原型遭受污染 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Jackson Mapper |
XML 外部實體 (XXE) 插入 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
jQuery |
在瀏覽器中任意執行 JavaScript |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Spring Framework |
跨目錄存取 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
Zip4j |
跨目錄存取 |
AEM CS AEM 6.5.6.0 (含) 以前版本 AEM 6.4.8.2 (含) 以前版本 AEM 6.3.3.8 (含) 以前版本 |
鳴謝
Adobe 在此感謝 Storebrand Group, Norway 的 Frank Karlstrøm 和 Kenny Jansson (CVE-2020-24444) 與 Adobe 共同保護客戶安全。
修訂
2021 年 1 月 31 日:從受 CVE-2020-24445 影響的版本清單中移除 AEM 6.4.8.2 和 6.3.3.8。