Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB17-41
ID bollettino Data di pubblicazione Priorità
APSB17-41 14 novembre 2017
3

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Experience Manager. Questi aggiornamenti risolvono una vunerabilità moderatadi cross-site scripting riflesso in HtmlRendererServlet (CVE-2017-3109), una vulnerabilità importante di divulgazione delle informazioni (CVE-2017-3111) per cui viene incluso un token riservato in una richiesta HTTP GET in determinate circostante e una vulnerabilità importante di cross-site scripting (CVE-2017-11296) in Apache Sling Servlets Post 2.3.20. 

Versioni del prodotto interessate

Prodotto Versione Piattaforma
Adobe Experience Manager

6,3

6.2

6.1

6.0

Tutte

Nota:

HtmlRendererServlet deve essere disattivato nei sistemi di produzione.Per ulteriori informazioni, è possibile consultare la pagina Running AEM in Production Ready Mode (Esecuzione di AEM in modalità pronta per la produzione). 

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto Versione Piattaforma Priorità Disponibilità
Adobe Experience Manager
6.3
Tutte 3 Nota di rilascio
6.2 Tutte 3 Nota di rilascio
6.1 Tutte 3 Nota di rilascio
6.0 Tutte 3 Nota di rilascio

Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codici CVE Versione interessata Pacchetto di download
Cross-site scripting riflesso Divulgazione di informazioni
Moderato
CVE-2017-3109
AEM 6.3 e versioni precedenti

Correzione rapida 17136 per 6.0.0

Pacchetto cumulativo di correzioni per 6.1 SP2 - AEM-6.1-SP2-CFP9

Pacchetto cumulativo di correzioni per 6.2 SP1 - AEM-6.2-SP1-CFP5

Service Pack 1 per AEM 6.3 (6.3.1.0)

Token riservato nella richiesta HTTP GET Divulgazione di informazioni Importante CVE-2017-3111
AEM 6.1, AEM 6.2 Pacchetto cumulativo di correzioni per 6.1 SP2 - AEM-6.1-SP2-CFP12 
 
Pacchetto cumulativo di correzioni per 6.2 SP1 - AEM-6.2-SP1-CFP2
Cross-site scripting
Divulgazione di informazioni Importante CVE-2017-11296 AEM 6.3 e versioni precedenti

Correzione rapida 18963 per 6.0.0

Pacchetto cumulativo di correzioni per 6.1 SP2 - AEM-6.1-SP2-CFP12

Pacchetto cumulativo di correzioni per 6.2 SP1 - AEM-6.2-SP1-CFP6

Pacchetto cumulativo di correzioni per AEM-CFP-6.3.0.2

 

Nota:

I pacchetti elencati nella tabella sopra rappresentano i pacchetti di correzione minimi necessari per risolvere la vulnerabilità riportata. Per le versioni più recenti, è possibile consultare i collegamenti delle note sulla versione riportati sopra.

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:  

  • Nagamarimuthu di Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)