Adobe 보안 게시판

Adobe Experience Manager에 사용할 수 있는 보안 업데이트 | APSB20-72

게시판 ID

게시 날짜

우선 순위

APSB20-72

2020년 12월 8일 

2

요약

Adobe는 Adobe Experience Manager(AEM) 및 AEM Forms 추가 기능 패키지에 대한 업데이트를 릴리스했습니다. 이 업데이트는 심각중요 등급으로 평가된 취약점을 해결합니다.


해당하는 제품 버전

제품 버전 플랫폼

 

 

Adobe Experience Manager (AEM)

AEM CS(Cloud Service)
모두
6.5.6.0 및 이전 버전
모두
6.4.8.2 및 이전 버전
모두 
6.3.3.8 및 이전 버전
모두 
6.2 SP1-CFP20 및 이전 버전 
모두 
AEM Forms 추가 기능 
AEM 6.5.6.0용 AEM Forms 서비스 팩 6 추가 기능 패키지
모두 
AEM 6.4 서비스 팩 8용 AEM Forms 추가 기능 패키지 누적 수정 팩 2(6.4.8.2)
모두

해결 방법

Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다:

제품

버전

플랫폼

우선 순위

사용 가능성

 

Adobe Experience Manager (AEM) 

AEM CS(Cloud Service)
모두 2 릴리스 정보

6.5.7.0 

모두

2

AEM 6.5 서비스 팩 릴리스 정보   

6.4.8.3

모두

2

AEM 6.4 누적 수정 팩 릴리스 정보  

 

AEM Forms 추가 기능

AEM Forms 서비스 팩 7
모두
2
AEM Forms 릴리스 
AEM 6.4 서비스 팩 8 CFP 3
모두 2 AEM Forms 릴리스
참고:

Adobe Experience Manager의 Cloud Service를 실행하는 고객은 보안 및 기능 버그 수정 사항뿐만 아니라 새로운 기능이 포함된 업데이트를 자동으로 받게 됩니다.  

참고:

Adobe Experience Manager 6.5.7.0은 새로운 기능, 주요 고객이 요청한 개선 사항, 2019년 4월 6.5 릴리스의 일반 가용성 이후 릴리스된 성능, 안정성 및 보안 개선 사항을 포함하는 중요한 업데이트입니다.  Adobe Experience Manager 6.5 위에 설치할 수 있습니다.

참고:

AEM 누적 수정 팩 6.4.8.3는 2020년 3월 AEM 6.4 서비스 팩 8(6.4.8.0)의 일반 가용성 이후 여러 가지 내부 및 고객 수정 사항이 포함된 중요한 업데이트입니다. AEM 누적 수정 팩 6.4.8.3는 AEM 6.4 서비스 팩 8에 따라 다릅니다. 따라서 AEM 6.4 서비스 팩 8을 설치한 후 AEM 누적 수정 팩 6.4.8.3 패키지를 설치해야 합니다.

참고:

AEM 버전 6.3 및 6.2에 대한 지원이 필요하면 Adobe 고객 지원 센터에 문의하십시오.

취약성 세부 정보

취약성 카테고리

취약성 영향

심각도

CVE 번호 

해당하는 버전

서버 측 요청 위조 블라인드

민감한 정보 노출

중요

CVE-2020-24444

AEM 6.5.6.0용 AEM Forms SP6 추가 기능 및 이전 버전

AEM 6.4 서비스 팩 8용 AEM Forms 추가 기능 패키지 누적 수정 팩 2(6.4.8.2) 및 이전 버전

크로스 사이트 스크립팅(저장됨)

브라우저에서 임의 JavaScript 실행

치명적

CVE-2020-24445

AEM CS

AEM 6.5.6.0 및 이전 버전

종속성 업데이트

종속성
취약성 영향
해당하는 버전
Apache Abdera
리소스 사용량

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Apache Batik
서버 측 요청 위조

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Apache Commons Compress
리소스 사용량

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Apache OpenNLP
XML 외부 엔티티(XXE) 삽입

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Apache Sling 스케줄러 서비스
XML 외부 엔티티(XXE) 삽입

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Apache Xerces2
리소스 사용량

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

CKEditor
브라우저에서 임의 JavaScript 실행

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Eclipse Jetty
리소스 사용량

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Google-oauth-client
부적절한 권한 부여

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Handlebars.js
프로토타입 오염

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Jackson Mapper
XML 외부 엔티티(XXE) 삽입

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

jQuery
브라우저에서 임의 JavaScript 실행

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Spring Framework
디렉토리 접근 공격

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

Zip4j
디렉토리 접근 공격

AEM CS

AEM 6.5.6.0 및 이전 버전

AEM 6.4.8.2 및 이전 버전

AEM 6.3.3.8 및 이전 버전

감사의 말

Adobe는 Adobe와 협력하여 고객 보호에 도움을 주신 노르웨이 Storebrand Group(CVE-2020-24444)의 Frank Karlstrøm과 Kenny Janson에게 감사의 말씀을 전합니다.

개정 버전

2021년 1월 13일: CVE-2020-24445의 영향을 받는 버전 목록에서 AEM 6.4.8.2 및 6.3.3.8을 제거했습니다.  

Adobe 로고

내 계정 로그인

[Feedback V2 Badge]