Adobe Experience Manager에 대한 보안 업데이트

릴리스 날짜: 2016년 12월 13일

최종 업데이트일: 2016년 12월 14일

취약점 식별자: APSB16-42

우선 순위: 2

CVE 번호: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

플랫폼: 모든 플랫폼

요약

Adobe에서 Adobe Experience Manager에 대한 보안 업데이트를 발표했습니다. 이 업데이트는 크로스 사이트 스크립팅 공격에서 사용할 수 있는 중요한 입력 유효성 검사 문제를 해결하며(CVE-2016-7882, CVE-2016-7883 and CVE-2016-7884), 중요한 크로스 사이트 요청 위조 취약성으로부터 사용자를 보호하는 업데이트를 포함합니다(CVE-2016-7885).

해당하는 버전

제품 해당하는 버전 플랫폼
  6.2 모두
Adobe Experience Manager 6.1 모두
  6.0 모두

해결 방법

온-프레미스 배포를 사용하는 고객은 아래 참조된 사용 가능한 업데이트를 설치하는 것이 좋습니다. 또한 고객은 버전 6.2, 6.1 또는 6.0용 보안 점검 목록에 설명된 절차를 검토 및 구현해야 합니다.

제품 버전 우선 순위 등급 사용 가능성
  6.2
2 릴리스 노트
Adobe Experience Manager 6.1 2 릴리스 노트
  6.0 2 릴리스 노트

이전 AEM 버전에 대한 지원이 필요하면 Adobe 고객 지원에 문의하십시오.

취약성 세부 정보

설명 CVE 해당하는 버전 다운로드 패키지

크로스 사이트 스크립팅 공격에 사용될 수 있는 WCMDebug 필터의 중요한 입력 유효성 검사 문제를 해결하는 업데이트입니다.

CVE-2016-7882
6.2 및 이전 버전 6.2용 핫픽스 12444
6.1 SP2용 핫픽스 12444 [0]
6.0 SP3용 핫픽스 12444

크로스 사이트 스크립팅 공격에 사용될 수 있는 시작 만들기 마법사의 중요한 입력 유효성 검사 문제를 해결하는 업데이트입니다.

CVE-2016-7883
6.2 6.2용 핫픽스 13062

크로스 사이트 스크립팅 공격에 사용될 수 있는 DAM 작성 자산의 중요한 입력 유효성 검사 문제를 해결하는 업데이트입니다.

CVE-2016-7884
6.1 및 이전 버전 6.1 SP2용 누적 픽스 팩
6.0 SP3용 핫픽스 13297

크로스 사이트 요청 위조로부터 사용자를 보호하는 Jackrabbit 구성 요소에 있는 업데이트입니다.

CVE-2016-7885 6.2 및 이전 버전 Hotfix 13547 - 6.2용
Hotfix 12817 - 6.1용
Hotfix 12846 - 6.0용

[0] 참고: 6.1 SP2용 12444는 AEM 6.1 SP2 CFP2에 포함됩니다.

감사의 말

Adobe는 CVE-2016-7882 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 Daniel Hamid에 감사의 말씀을 전합니다.  CVE-2016-7883, CVE-2016-7884 및 CVE-2016-7885가 익명으로 보고되었습니다.

수정

2016년 12월 14일: 영향을 받는 플랫폼이 모든 항목에 수정되었습니다(이전에 언급된 Windows, Unix, Linux 및 OS X). 또한 핫픽스 12444가 이전에 AEM 6.1 SP2 CFP2에 포함되었음을 명시하는 메모가 들어 있습니다.