Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-72
情報 ID 公開日 優先度
APSB20-72
2020 年 12 月 8 日 
2

要約

Adobe Experience Manager (AEM)および AEM Forms アドオンパッケージを対象とするアップデートが公開されました。これらのアップデートは、クリティカルおよび重要に分類される脆弱性を解決します。


対象の製品バージョン

製品名 バージョン プラットフォーム

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
すべて
6.5.6.0 以前のバージョン
すべて
6.4.8.2 以前のバージョン
すべて 
6.3.3.8 とそれ以前のバージョン
すべて 
6.2 SP1-CFP20 以前のバージョン 
すべて 
AEM Forms アドオン 
AEM 6.5.6.0 用の AEM Forms Service Pack 6 アドオンパッケージ
すべて 
AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)用の AEM Forms アドオンパッケージ
すべて

解決策

アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。

製品名

バージョン

プラットフォーム

優先度

入手方法

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
すべて 2 リリースノート

6.5.7.0 

すべて

2

AEM 6.5 Service Pack リリースノート  

6.4.8.3

すべて

2

AEM 6.4 Cumulative Fix Pack リリースノート  

 

AEM Forms アドオン

AEM Forms Service Pack 7
すべて
2
AEM Forms リリース 
AEM 6.4 Service Pack 8 CFP 3
すべて 2 AEM Forms リリース

注意:

Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。

注意:

Adobe Experience Manager 6.5.7.0 は、2019 年 4 月の 6.5 リリースの一般提供開始以降にリリースされた新機能、お客様から要望の多かった主要な機能強化、パフォーマンス、安定性、セキュリティの改善を含む重要なアップデートです。  Adobe Experience Manager 6.5 の上にインストールできます。

注意:

AEM Cumulative Fix Pack 6.4.8.3 は、2020 年 3 月に AEM 6.4 Service Pack 8 (6.4.8.0)が一般に公開されて以来の社内およびお客様向けの複数の修正を含む重要なアップデートです。AEM Cumulative Fix Pack 6.4.8.3 は、AEM 6.4 Service Pack 8 に依存します。 したがって、AEM 6.4 Service Pack 8 をインストール後に、AEM Cumulative Fix Pack 6.4.8.3 パッケージをインストールしてください。

注意:

AEM バージョン 6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

CVE 番号 

対象のバージョン
ブラインドサーバー側リクエスト偽造
機密情報漏えい
重要
CVE-2020-24444

AEM 6.5.6.0 用の AEM Forms SP6 アドオン

AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)用の AEM Formsアドオンパッケージ

クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
クリティカル
CVE-2020-24445

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

依存関係の更新

依存性
脆弱性の影響
対象のバージョン
Apache Abdera
リソース消費

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Apache Batik
サーバー側リクエスト偽造

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Apache Commons Compress
リソース消費

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Apache OpenNLP
XML 外部エンティティ(XXE)インジェクション

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Apache Sling Scheduler Service
XML 外部エンティティ(XXE)インジェクション

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Apache Xerces2
リソース消費

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

CKEditor
ブラウザーでの任意の JavaScript 実行

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Eclipse Jetty
リソース消費

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Google-oauth-client
不適切な認証

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Handlebars.js
プロトタイプ汚染

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Jackson Mapper
XML 外部エンティティ(XXE)インジェクション

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

jQuery
ブラウザーでの任意の JavaScript 実行

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Spring Framework
ディレクトリトラバーサル

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

Zip4j
ディレクトリトラバーサル

AEM CS

AEM 6.5.6.0 以前

AEM 6.4.8.2 以前

AEM 6.3.3.8 以前

謝辞

ノルウェーの Storebrand Group の Frank Karlstrøm 氏および Kenny Jansson 氏(CVE-2020-24444)に対し、アドビより厚く御礼を申し上げます。