Adobe Experience Manager에 대한 보안 업데이트

릴리스 날짜: 2016년 2월 9일

최종 업데이트일: 2016년 2월 12일

취약점 식별자: APSB16-05

우선 순위: 2

CVE 번호: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

플랫폼: Windows, Unix, Linux 및 OS X

요약

Adobe에서 Adobe Experience Manager에 대한 보안 핫픽스를 발표했습니다. 이 핫픽스는 정보 노출을 초래할 수 있는 중요한 취약성을 해결합니다.  

해당하는 버전

제품 해당하는 버전 플랫폼
  6.1.0 Windows, Unix, Linux 및 OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux 및 OS X
  5.6.1 Windows, Unix, Linux 및 OS X

해결 방법

온-프레미스 개발을 사용하는 고객은 아래 참조된 사용 가능한 핫픽스를 설치하는 것이 좋습니다. 또한 고객은 버전 6.1, 6.0 또는 5.6.1용 보안 점검 목록에 설명된 절차를 검토 및 구현해야 합니다.

제품 버전 우선 순위 등급 사용 가능성
  6.1.0
2 핫픽스(6.1.0)
Adobe Experience Manager 6.0.0 2 핫픽스(6.0)
  5.6.1 2 핫픽스(5.6.1)

사용 가능한 핫픽스에 대한 자세한 내용은 Adobe Experience Manager 도움말 페이지를 참조하십시오.  

취약성 세부 정보

설명 CVE 다운로드 패키지
  • Hot Fix 8364에는 자바 역직렬화 문제를 완화하는 에이전트가 포함됩니다.
CVE-2016-0958

Hot fix for 6.1
Hot fix for 6.0
Hot fix for 5.6.1

  • Hot Fix 8651은 정보 유출로 이어질 수 있는 교차 사이트 스크립팅의 취약성(버전 6.1.0에만 해당)을 해결합니다.
CVE-2016-0955

Hot fix for 6.1

  • Hot fix 6445는 Apache Sling Servlets Post 2.3.6과 이전 버전에 영향을 주는 정보 유출 취약성을 해결합니다.
CVE-2016-0956

Hot fix for 6.1
Hot fix for 6.0
Hot fix for 5.6.1

  • 디스패처 규칙을 피해가는데 사용할 수 있는 URL 필터 우회 취약성은 Dispatcher 4.1.5 이상의 버전으로 해결합니다.
CVE-2016-0957 Dispatcher

감사의 말

Adobe는 이러한 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.

  • Compass Security Schweiz AG의 Damian Pfammatter(CVE-2016-0955)
  • Ateeq ur Rehman Khan - Vulnerability Labs(@CyberCrimeNEWS)(CVE-2016-0956)

수정

2016년 2월 12일:

  • CVE-2016-0956이 Apache Sling Servlets Post 2.3.6과 이전 버전에 영향을 준다는 것을 확인하기 위해 "와(과) 이전 버전"을 추가했습니다.  
  • 버전 6.1.0만 영향 받는다는 것을 확인하기 위해 CVE-2016-0955에 대한 설명을 수정했습니다. AEM 6.1.0 이전 버전은 CVE-2016-0955에 영향 받지 않습니다.  
  • 취약성 세부정보 섹션을 표 형식으로 수정했고 각 Hot Fix에 대한 다운로드 패키지로 이동하는 URL을 삽입했습니다.