Adobe 安全性公告

發佈 Adobe Experience Manager 的安全性更新 | APSB20-72

安全性公告 ID

發佈日期

優先順序

APSB20-72

2020 年 12 月 8 日 

2

摘要

Adobe 已發佈 Adobe Experience Manager (AEM) 和 AEM Forms 附加元件套件更新。這些更新旨在解決多項重大重要弱點。


受影響的產品版本

產品 版本 平台

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
全部
6.5.6.0 及舊版
全部
6.4.8.2 及舊版
全部 
6.3.3.8 及舊版
全部 
6.2 SP1-CFP20 (含) 以前版本
全部 
AEM Forms 附加元件
AEM 6.5.6.0 的 AEM Forms Service Pack 6 附加元件套件
全部 
AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) 的 AEM Forms 附加元件套件
全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品

版本

平台

優先順序

上市情況

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
全部 2 發行說明

6.5.7.0 

全部

2

AEM 6.5 Service Pack 發行說明  

6.4.8.3

全部

2

AEM 6.4 Cumulative Fix Pack 發行說明  

 

AEM Forms 附加元件

AEM Forms Service Pack 7
全部
2
AEM Forms 發行說明 
AEM 6.4 Service Pack 8 CFP 3
全部 2 AEM Forms 發行說明
註解:

若客戶執行的是 Adobe Experience Manager 的 Cloud Service,系統會自動接收更新,包括新功能以及安全性與功能錯誤修正。 

註解:

Adobe Experience Manager 6.5.7.0 是一項重要更新,不僅內含 2019 年 4 月 6.5 版正式發行以來的全新功能,應重要客戶要求所推出的改善項目,並提升了效能、穩定性以及安全性。  此更新能在 Adobe Experience Manager 6.5 上進行安裝。

註解:

AEM Cumulative Fix Pack 6.4.8.3 是一項重要更新,內含 AEM 6.4 Service Pack 8 (6.4.8.0) 自 2020 年 3 月正式發行以來多項內部與客戶的修正程式。AEM Cumulative Fix Pack 6.4.8.3 相依於 AEM 6.4 Service Pack 8。因此,安裝 AEM Cumulative Fix Pack 6.4.8.3 套件前,請先安裝 AEM 6.4 Service Pack 8。

註解:

若需尋求 AEM 6.3 和 6.2 等版本的相關協助,請洽詢 Adobe 客戶服務

弱點詳細資料

弱點類別

弱點影響

嚴重性

CVE 編號 

受影響的版本

偽造盲目式伺服器端要求

揭露敏感資訊

重要

CVE-2020-24444

AEM 6.5.6.0 的 AEM Forms SP6 附加元件 和舊版

AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) (含) 以前版本的 AEM Forms 附加元件套件

跨網站指令碼 (已儲存)

在瀏覽器中任意執行 JavaScript

重大

CVE-2020-24445

AEM CS

AEM 6.5.6.0 (含) 以前版本

相依性更新

相依性
弱點影響
受影響的版本
Apache Abdera
資源消耗

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Apache Batik
伺服器端偽造要求

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Apache Commons Compress
資源消耗

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Apache OpenNLP
XML 外部實體 (XXE) 插入

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Apache Sling Scheduler Service
XML 外部實體 (XXE) 插入

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Apache Xerces2
資源消耗

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

CKEditor
在瀏覽器中任意執行 JavaScript

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Eclipse Jetty
資源消耗

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Google-oauth-client
不當授權

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Handlebars.js
原型遭受污染

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Jackson Mapper
XML 外部實體 (XXE) 插入

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

jQuery
在瀏覽器中任意執行 JavaScript

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Spring Framework
跨目錄存取

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

Zip4j
跨目錄存取

AEM CS

AEM 6.5.6.0 (含) 以前版本

AEM 6.4.8.2 (含) 以前版本

AEM 6.3.3.8 (含) 以前版本

鳴謝

Adobe 在此感謝 Storebrand Group, Norway 的 Frank Karlstrøm 和 Kenny Jansson (CVE-2020-24444) 與 Adobe 共同保護客戶安全。

修訂

2021 年 1 月 31 日:從受 CVE-2020-24445 影響的版本清單中移除 AEM 6.4.8.2 和 6.3.3.8。  

 Adobe

更快、更輕鬆地獲得協助

新的使用者?

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上