Adobe セキュリティ情報

検索

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB17-41

情報 ID

公開日

優先度

APSB17-41

2017 年 11 月 14 日

3

要約

Adobe Experience Manager のセキュリティアップデートが公開されました。これらのアップデートは、HtmlRendererServlet のクロスサイトスクリプティングの脆弱性(中度)(CVE-2017-3109)、特定の状況下で http GET 要求に機密トークンが組み込まれる情報漏えいの脆弱性(重度)(CVE-2017-3111)、および Apache Sling Servlets Post 2.3.20 のクロスサイトスクリプティングの脆弱性(重度)(CVE-2017-11296)を解決します。

対象の製品バージョン

製品名

バージョン

プラットフォーム

Adobe Experience Manager

6.3

6.2

6.1

6.0

すべて
注意:

HtmlRendererServlet は本番システムでは無効にしてください。詳細については、プロダクション対応モードでの AEM の実行を参照してください。

解決方法

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 バージョン プラットフォーム 優先度 入手方法
Adobe Experience Manager
 6.3
 すべて 3 リリースノート
6.2 すべて 3 リリースノート
6.1 すべて 3 リリースノート
6.0 すべて 3 リリースノート

これ以前の AEM バージョンのサポートについては、アドビカスタマーケアにお問い合わせください。

脆弱性の詳細

脆弱性のカテゴリー

脆弱性の影響

重大度

CVE 番号

影響を受けるバージョン

ダウンロードパッケージ

反映されたクロスサイトスクリプティング

情報開示

中度

CVE-2017-3109

AEM 6.3 以前

6.0.0 向け Hotfix 17136

6.1 SP2 に関する累積修正パック - AEM-6.1-SP2-CFP9

6.2 SP1 に関する累積修正パック - AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

HTTP GET 要求内の機密トークン

情報開示

重度

CVE-2017-3111

AEM 6.1、AEM 6.2

6.1 SP2 - AEM-6.1-SP2-CFP12 に関する累積修正パック

6.2 SP1 - AEM-6.2-SP1-CFP2に関する 累積修正パック

クロスサイトスクリプティング

情報開示

重度

CVE-2017-11296

AEM 6.3 以前

6.0.0 用ホットフィックス 18963

6.1 SP2 に関する累積修正パック - AEM-6.1-SP2-CFP12

6.2 SP1 に関する累積修正パック - AEM-6.2-SP1-CFP6

AEM-CFP-6.3.0.2 に関する累積修正パック

 
注意:

上記の表にリストするパッケージは、記載の脆弱性に対応する最小限の修正パックです。  最新バージョンについては、上記のリリースノートのリンクを参照してください。

謝辞

一連の問題を指摘し、ユーザーのセキュリティ保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Cognizant Technology Solutions の Nagamarimuthu 氏 - エンタープライズ版リスクとセキュリティの解決策(CVE-2017-3109)

ヘルプをすばやく簡単に入手

新規ユーザーの場合

クイックリンク

すべてのプランを表示 プランを管理
クイックリンクを表示する
クイックリンクを非表示にする

アドビサポートコミュニティ

使い方についての質問やCreator同士の情報交換ができます。気軽に質問してみましょう。

質問する

サポート

個別対応による実践的なヘルプ

利用する
^ ページの先頭へ