Adobe Experience Manager 用のセキュリティアップデート公開

リリース日: 2016 年 12 月 13 日

最終更新日: 2016 年 12 月 14 日

脆弱性識別番号: APSB16-42

優先度:2

CVE 番号: CVE-2016-7882、CVE-2016-7883、CVE-2016-7884、CVE-2016-7885

プラットフォーム: すべて

概要

Adobe Experience Manager のセキュリティアップデートが公開されました。このアップデートは、クロスサイトスクリプティング攻撃(CVE-2016-7882、CVE-2016-7883、および CVE-2016-7884)で使用される恐れのある 3 つの重要な入力検証問題を解決するとともに、重要なクロスサイトリクエスト偽造の脆弱性(CVE-2016-7885)からユーザーを保護するアップデートが組み込まれています。

対象のバージョン

製品名 対象のバージョン プラットフォーム
  6.2 すべて
Adobe Experience Manager 6.1 すべて
  6.0 すべて

解決策

オンプレミス導入型のお客様には、下記の利用可能なアップデートをインストールしていただくことをお勧めします。さらに、バージョン 6.26.1、または 6.0 のセキュリティチェックリストに記載されている手順を検討して実装してください。

製品名 バージョン 優先度評価 入手方法
  6.2
2 リリースノート
Adobe Experience Manager 6.1 2 リリースノート
  6.0 2 リリースノート

従前の AEM バージョンのサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

説明 CVE 対象のバージョン ダウンロードパッケージ

アップデートでは、クロスサイトスクリプティング攻撃に使用される恐れのある WCMDebug フィルターの重要な入力検証問題を解決します。

CVE-2016-7882
6.2 とそれ以前のバージョン 6.2 向けホットフィックス 12444
6.1 SP2 向けホットフィックス 12444 [0]
6.0 SP3 向けホットフィックス 12444

アップデートでは、クロスサイトスクリプティング攻撃に使用される恐れのある起動作成ウィザードの重要な入力検証問題を解決します。

CVE-2016-7883
6.2 6.2 向け Hotfix 13062

アップデートでは、クロスサイトスクリプティング攻撃に使用される恐れのある DAM アセット作成の重要な入力検証問題を解決します。

CVE-2016-7884
6.1 とそれ以前のバージョン 6.1 SP2 向け Cumulative Fix パック
6.0 SP3 向け Hotfix 13297

クロスサイトリクエスト偽造からユーザーを保護する Jackrabbit コンポーネントのアップデート

CVE-2016-7885 6.2 とそれ以前のバージョン 6.2 向けホットフィックス 13547
6.1 向けホットフィックス 12817
6.0 向けホットフィックス 12846

[0] 注意: AEM 6.1 SP2 CFP2 には 6.1 向けホットフィックス SP2 が含まれています。

謝辞

お客様を保護するために、CVE-2016-7882 を報告し、アドビ システムズ社に協力してくれた Daniel Hamid 様に対し、感謝の意を表します。CVE-2016-7883、CVE-2016-7884 および CVE-2016-7885 は匿名による報告でした。

更新履歴

20 16 年 12 月 14 日:すべて(前述の Windows、Unix、Linux、OS X)の対象プラットフォームを変更しました。また、ホットフィックス 12444 が従来 AEM 6.1 SP2 CFP2 に含まれていたことを明記する注記も含まれています。