Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Experience Manager

Data di pubblicazione: 13 dicembre 2016

Ultimo aggiornamento: 14 dicembre 2016

Identificatore di vulnerabilità: APSB16-42

Priorità: 2

Codice CVE: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Piattaforma: Tutte

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Experience Manager. Questi aggiornamenti risolvono tre importanti problemi di convalida dell'input che potrebbero essere utilizzati negli attacchi di cross-site scripting (CVE-2016-7882, CVE-2016-7883 e CVE-2016-7884) e comprendono un aggiornamento per proteggere gli utenti da una importante vulnerabilità di Cross-Site Request Forgery (CVE-2016-7885).

Versioni interessate

Prodotto Versioni interessate Piattaforma
  6.2 Tutte
Adobe Experience Manager 6.1 Tutte
  6.0 Tutte

Soluzione

Adobe consiglia agli utenti con distribuzioni locali di installare gli aggiornamenti disponibili indicati di seguito. Inoltre, i clienti devono verificare e implementare i passaggi evidenziati negli elenchi di controllo di sicurezza per le versioni 6.26.1 o 6.0.

Prodotto Versioni Livello di priorità Disponibilità
  6.2
2 Nota di rilascio
Adobe Experience Manager 6.1 2 Nota di rilascio
  6.0 2 Nota di rilascio

Contattare l'assistenza clienti Adobe per assistenza sulle versioni di AEM precedenti.

Dettagli della vulnerabilità

Descrizione CVE Versioni interessate Pacchetto di download

Gli aggiornamenti risolvono un problema importante di convalida dell'input presente nel filtro WCMDebug che può essere utilizzato negli attacchi di cross-site scripting.

CVE-2016-7882
6.2 e versioni precedenti Correzione rapida 12444 per la versione 6.2
Correzione rapida 12444 per la versione 6.1 SP2 [0]
Correzione rapida 12444 per la versione 6.0 SP3

Gli aggiornamenti risolvono un problema importante di convalida dell'input nella creazione guidata di avvio che potrebbe essere utilizzato in attacchi di cross-site scripting.

CVE-2016-7883
6.2 Correzione rapida 13062 per 6.2

Gli aggiornamenti risolvono un problema importante di convalida dell'input in DAM per creare asset utilizzabili in attacchi di cross-site scripting.

CVE-2016-7884
6.1 e versioni precedenti Pack cumulativo di correzioni per 6.1 SP2
Correzione rapida 13297 per 6.0 SP3

Aggiornamenti nel componente Jackrabbit per proteggere gli utenti da Cross-Site Request Forgery.

CVE-2016-7885 6.2 e versioni precedenti Correzione rapida 13547 per la versione 6.2
Correzione rapida 12817 per la versione 6.1
Correzione rapida 12846 per la versione 6.0

[0] Nota: la correzione rapida 12444 per la versione 6.1 SP2 è inclusa in AEM 6.1 SP2 CFP2.

Ringraziamenti

Adobe desidera ringraziare Daniel Hamid per aver segnalato la vulnerabilità CVE-2016-7882 e per la sua collaborazione con Adobe per la protezione dei clienti.  CVE-2016-7883, CVE-2016-7884 e CVE-2016-7885 sono stati segnalati in modo anonimo.

Revisioni

14 dicembre 2016: la voce relativa alle piattaforme interessate è stata modificata in Tutte (in precedente erano indicate Windows, Unix, Linux e OS X). È stata inoltre aggiunta una nota per chiarire che la correzione rapida 12444 era stata precedentemente inclusa in AEM 6.1 SP2 CFP2.