ID bollettino
Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB20-72
|
Data di pubblicazione |
Priorità |
---|---|---|
APSB20-72 |
8 dicembre 2020 |
2 |
Riepilogo
Adobe ha rilasciato aggiornamenti per Adobe Experience Manager (AEM) e il pacchetto del componente aggiuntivo AEM Forms. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche.
Versioni del prodotto interessate
Prodotto | Versione | Piattaforma |
---|---|---|
Adobe Experience Manager (AEM) |
Cloud Service AEM (CS) |
Tutte |
6.5.6.0 e versioni precedenti |
Tutte |
|
6.4.8.2 e versioni precedenti |
Tutte |
|
6.3.3.8 e versioni precedenti |
Tutte |
|
6.2 SP1-CFP20 e versioni precedenti |
Tutte |
|
Componente aggiuntivo AEM Forms |
Pacchetto aggiuntivo AEM Forms Service Pack 6 per AEM 6.5.6.0 |
Tutte |
Pacchetto aggiuntivo AEM Forms per AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
Cloud Service AEM (CS) |
Tutte | 2 | Note sul rilascio |
6.5.7.0 |
Tutte |
2 |
Note sulla versione AEM 6.5 Service Pack |
|
6.4.8.3 |
Tutte |
2 |
AEM 6.4 - Note sulla versione del pacchetto di correzioni cumulative |
|
Componente aggiuntivo AEM Forms |
AEM Forms Service Pack 7 |
Tutte |
2 |
AEM Forms Release |
AEM 6.4 Service Pack 8 CFP 3 |
Tutte | 2 | AEM Forms Release |
I clienti in esecuzione sul Cloud Service di Adobe Experience Manager riceveranno automaticamente aggiornamenti che includono nuove funzioni, nonché correzioni di bug di sicurezza e funzionalità.
Adobe Experience Manager 6.5.7.0 è un aggiornamento importante che include nuove funzioni, miglioramenti fondamentali richiesti dai clienti e miglioramenti a livello di prestazioni, stabilità e sicurezza rilasciati a partire dalla versione 6.5 di aprile 2019. Può essere installato su Adobe Experience Manager 6.5.
AEM Cumulative Fix Pack 6.4.8.3 è un aggiornamento importante che include diverse correzioni interne e per i clienti, poiché la disponibilità generale di AEM 6.4 Service Pack 8 (6.4.8.0) nel marzo 2020. AEM Cumulative Fix Pack 6.4.8.3 dipende da AEM 6.4 Service Pack 8. Pertanto, è necessario installare il pacchetto AEM cumulativo di correzioni 6.4.8.3 dopo aver installato AEM 6.4 Service Pack 8.
Per ricevere assistenza sulle versioni di AEM precedenti, gli utenti possono contattare l'Assistenza clienti Adobe.
Dettagli della vulnerabilità
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Codice CVE |
Versioni interessate |
---|---|---|---|---|
Blind Server-side request forgery |
Divulgazione di informazioni riservate |
Importante |
CVE-2020-24444 |
Componente aggiuntivo AEM Forms SP6 AEM 6.5.6.0 e versioni precedenti Pacchetto aggiuntivo AEM Forms per AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) e versioni precedenti |
Vulnerabilità cross-site scripting (memorizzate) |
Esecuzione arbitraria di JavaScript nel browser |
Critica |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 e versioni precedenti |
Aggiornamenti alle dipendenze
Dipendenza |
Impatto della vulnerabilità |
Versioni interessate |
Apache Abdera |
Consumo di risorse |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Apache Batik |
Server-side request forgery |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Apache Commons Compress |
Consumo di risorse |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Apache OpenNLP |
Aggiunta dell'entità esterna XML (XXE) |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Servizio di pianificazione Apache Sling |
Aggiunta dell'entità esterna XML (XXE) |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Apache Xerces2 |
Consumo di risorse |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
CKEditor |
Esecuzione arbitraria di JavaScript nel browser |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Eclipse Jetty |
Consumo di risorse |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Google-oauth-client |
Autorizzazione impropria |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Handlebars.js |
Inquinamento da prototipi |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Jackson Mapper |
Aggiunta dell'entità esterna XML (XXE) |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
jQuery |
Esecuzione arbitraria di JavaScript nel browser |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Framework Spring |
Directory Traversal |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Zip4j |
Directory Traversal |
AEM CS AEM 6.5.6.0 e versioni precedenti AEM 6.4.8.2 e versioni precedenti AEM 6.3.3.8 e versioni precedenti |
Ringraziamenti
Adobe desidera ringraziare Frank Karlstrøm e Kenny Jansson di Storebrand Group, Norvegia (CVE-2020-24444) per aver collaborato con Adobe per proteggere la sicurezza dei nostri clienti.
Revisioni
13 gennaio 2021: Sono stati rimossi i AEM 6.4.8.2 e 6.3.3.8 dall'elenco delle versioni interessate dalla vulnerabilità CVE-2020-24445.