Adobe Experience Manager 用のセキュリティホットフィックス公開

リリース日: 2016 年 8 月 9 日

脆弱性識別番号: APSB16-27

優先度:2

CVE 番号: CVE-2016-4168、CVE-2016-4169、CVE-2016-4170、CVE-2016-4253

プラットフォーム:Windows、UNIX、Linux、および OS X

概要

Adobe Experience Manager 用のセキュリティホットフィックスがリリースされました。これらのホットフィックスは、クロスサイトスクリプティング攻撃で使用されかねない入力検証に関する 2 つの重要な問題 (CVE-2016-4168とCVE-2016-4170)、情報漏えいにつながりかねないバックアップ機能の重要な脆弱性 (CVE-2016-4253)、監査ログイベントを特権のないユーザーに開示しかねない重要な脆弱性 (CVE-2016-4169) を解決します。

対象のバージョン

製品名 対象のバージョン プラットフォーム
  6.2 Windows、Unix、Linux、および OS X
Adobe Experience Manager 6.1 Windows、Unix、Linux、および OS X
  6.0 Windows、Unix、Linux、および OS X
  5.6.1 Windows、Unix、Linux、および OS X

解決策

オンプレミスで展開されているお客様には、以下で参照している入手可能なホットフィックスをインストールすることをお勧めします。さらにお客様は、 バージョン6.26.16.05.6.1向けのセキュリティチェックリストで概説されている手順を確認および実装する必要があります。

製品名 バージョン 優先度評価 入手方法
  6.2
2 ホットフィックス (6.2)
Adobe Experience Manager 6.1 2 ホットフィックス (6.1)
  6.0 2 ホットフィックス (6.0)
  5.6.1 2 ホットフィックス (5.6.1)

入手可能なホットフィックスに関する詳細については、Adobe Experience Manager のヘルプページをご覧ください。

脆弱性に関する詳細

説明 CVE 対象のバージョン ダウンロードパッケージ

これらのホットフィックスにより、クロスサイトスクリプティング攻撃に使用されかねない入力検証の問題が解決されます。

CVE-2016-4168
6.1 とそれ以前のバージョン 6.1 向けホットフィックス 9639
6.0 向けホットフィックス 10767
5.6.1 向けホットフィックス 10764

これらのホットフィックスにより、監査ログイベントを特権のないユーザーに開示しかねない脆弱性が解決されます。

CVE-2016-4169
6.2、6.1、および 6.0 6.2 向けホットフィックス 10956
6.1 向けホットフィックス 10768
6.0 向けホットフィックス 10767

これらのホットフィックスにより、クロスサイトスクリプティング攻撃に使用されかねない入力検証の問題が解決されます。

CVE-2016-4170
6.2 とそれ以前のバージョン 6.2 向けホットフィックス 10936
6.1 向けホットフィックス 10936
6.0 向けホットフィックス 10936
5.6.1 向けホットフィックス 10936

これらのホットフィックスにより、情報漏えいにつながりかねないバックアップ機能の脆弱性が解決されます。

CVE-2016-4253 6.2 とそれ以前のバージョン 6.2 向けホットフィックス 10870
6.1 向けホットフィックス 10870
6.0 向けホットフィックス 10870
5.6.1 向けホットフィックス 10870

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Raytheon Foreground Security の Adam Willard 氏 (CVE-2016-4168)
  • Ninad Sarang 氏 (@hbkninad) (CVE-2016-4169)
  • Franz Saller 氏 (CVE-2016-4170)
  • Kyle Lovett 氏 (CVE-2016-4253)