Adobe セキュリティ速報

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-15

情報 ID

公開日

優先度

APSB21-15

2021年5月11日 

2

要約

Adobe Experience Manager (AEM)を対象としたアップデートが公開されました。これらのアップデートは、クリティカルおよび重要に分類される脆弱性を解決します。この脆弱性が悪用されると、ブラウザーで任意の JavaScript が実行されるおそれがあります。

対象の製品バージョン

製品名 バージョン プラットフォーム

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
すべて
6.5.7.0 とそれ以前のバージョン 
すべて
6.4.8.3 とそれ以前のバージョン 
すべて 
6.3.3.8 とそれ以前のバージョン
すべて 

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

バージョン

プラットフォーム

優先度

入手方法

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
すべて 2 リリースノート

6.5.8.0 

すべて

2

AEM 6.5 Service Pack リリースノート  

6.4.8.4 

すべて

2

AEM 6.4 Cumulative Fix Pack リリースノート  

注意:

Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。

注意:

AEM Cumulative Fix Pack 6.4.8.4 は、2020 年 3 月に AEM 6.4 Service Pack 8 (6.4.8.0)が一般に公開されて以来の社内およびお客様向けの複数の修正を含む重要なアップデートです。

注意:

AEM バージョン 6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

CVE 番号 

対象のバージョン

不正なアクセス制御

アプリケーションのサービス拒否

重要

CVE-2021-21083

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

クロスサイトスクリプティング(保存)

ブラウザーでの任意の JavaScript 実行

クリティカル

CVE-2021-21084

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前 

依存関係の更新

依存関係
脆弱性の影響
対象のバージョン
Commons-io
不正なアクセス制御

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前 

MetadataExtractor
管理されていないリソース消費

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

FasterXML Jackson Databind/Core
リモートコード実行

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Eclipse Jetty
不正なアクセス制御

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Lucene Queryparser
リモートコード実行

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Apache XML-RPC
任意のコード実行

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Zip4j
任意のコード実行

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Apache Directory LDAP API
不正なアクセス制御

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Apache Sling
不正なアクセス制御

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Apache Felix
任意のコード実行

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Apache Solr
不正な読み取り/書き取りアクセス

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

Apache Tomcat
不正なアクセス制御

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

jQuery
任意のコード実行

AEM CS 

AEM 6.5.7.0 以前 

AEM 6.4.8.3 以前 

AEM 6.3.3.8 以前

謝辞

これら両方の問題を指摘し、ユーザーの保護にご協力いただいた netcentric (CVE-2021-21083)の Thomas Hartmann 氏に対し、アドビより厚く御礼を申し上げます。 

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合