게시판 ID
마지막 업데이트 날짜
2021년 4월 29일
Adobe Experience Manager에 사용할 수 있는 보안 업데이트 | APSB20-72
|
|
게시 날짜 |
우선 순위 |
|---|---|---|
|
APSB20-72 |
2020년 12월 8일 |
2 |
요약
해당하는 제품 버전
| 제품 | 버전 | 플랫폼 |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM CS(Cloud Service) |
모두 |
| 6.5.6.0 및 이전 버전 |
모두 |
|
| 6.4.8.2 및 이전 버전 |
모두 |
|
| 6.3.3.8 및 이전 버전 |
모두 |
|
| 6.2 SP1-CFP20 및 이전 버전 |
모두 |
|
| AEM Forms 추가 기능 |
AEM 6.5.6.0용 AEM Forms 서비스 팩 6 추가 기능 패키지 |
모두 |
| AEM 6.4 서비스 팩 8용 AEM Forms 추가 기능 패키지 누적 수정 팩 2(6.4.8.2) |
모두 |
해결 방법
Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다:
제품 |
버전 |
플랫폼 |
우선 순위 |
사용 가능성 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM CS(Cloud Service) |
모두 | 2 | 릴리스 정보 |
6.5.7.0 |
모두 |
2 |
AEM 6.5 서비스 팩 릴리스 정보 |
|
6.4.8.3 |
모두 |
2 |
||
AEM Forms 추가 기능 |
AEM Forms 서비스 팩 7 |
모두 |
2 |
AEM Forms 릴리스 |
| AEM 6.4 서비스 팩 8 CFP 3 |
모두 | 2 | AEM Forms 릴리스 |
참고:
Adobe Experience Manager의 Cloud Service를 실행하는 고객은 보안 및 기능 버그 수정 사항뿐만 아니라 새로운 기능이 포함된 업데이트를 자동으로 받게 됩니다.
참고:
Adobe Experience Manager 6.5.7.0은 새로운 기능, 주요 고객이 요청한 개선 사항, 2019년 4월 6.5 릴리스의 일반 가용성 이후 릴리스된 성능, 안정성 및 보안 개선 사항을 포함하는 중요한 업데이트입니다. Adobe Experience Manager 6.5 위에 설치할 수 있습니다.
참고:
AEM 누적 수정 팩 6.4.8.3는 2020년 3월 AEM 6.4 서비스 팩 8(6.4.8.0)의 일반 가용성 이후 여러 가지 내부 및 고객 수정 사항이 포함된 중요한 업데이트입니다. AEM 누적 수정 팩 6.4.8.3는 AEM 6.4 서비스 팩 8에 따라 다릅니다. 따라서 AEM 6.4 서비스 팩 8을 설치한 후 AEM 누적 수정 팩 6.4.8.3 패키지를 설치해야 합니다.
참고:
AEM 버전 6.3 및 6.2에 대한 지원이 필요하면 Adobe 고객 지원 센터에 문의하십시오.
취약성 세부 정보
|
취약성 카테고리 |
취약성 영향 |
심각도 |
CVE 번호 |
해당하는 버전 |
|---|---|---|---|---|
|
서버 측 요청 위조 블라인드 |
민감한 정보 노출 |
중요 |
CVE-2020-24444 |
AEM 6.5.6.0용 AEM Forms SP6 추가 기능 및 이전 버전 AEM 6.4 서비스 팩 8용 AEM Forms 추가 기능 패키지 누적 수정 팩 2(6.4.8.2) 및 이전 버전 |
|
크로스 사이트 스크립팅(저장됨) |
브라우저에서 임의 JavaScript 실행 |
치명적 |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 및 이전 버전 |
종속성 업데이트
| 종속성 |
취약성 영향 |
해당하는 버전 |
| Apache Abdera |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Batik |
서버 측 요청 위조 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Commons Compress |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache OpenNLP |
XML 외부 엔티티(XXE) 삽입 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Sling 스케줄러 서비스 |
XML 외부 엔티티(XXE) 삽입 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Xerces2 |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| CKEditor |
브라우저에서 임의 JavaScript 실행 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Eclipse Jetty |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Google-oauth-client |
부적절한 권한 부여 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Handlebars.js |
프로토타입 오염 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Jackson Mapper |
XML 외부 엔티티(XXE) 삽입 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| jQuery |
브라우저에서 임의 JavaScript 실행 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Spring Framework |
디렉토리 접근 공격 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Zip4j |
디렉토리 접근 공격 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
감사의 말
Adobe는 Adobe와 협력하여 고객 보호에 도움을 주신 노르웨이 Storebrand Group(CVE-2020-24444)의 Frank Karlstrøm과 Kenny Janson에게 감사의 말씀을 전합니다.
개정 버전
2021년 1월 13일: CVE-2020-24445의 영향을 받는 버전 목록에서 AEM 6.4.8.2 및 6.3.3.8을 제거했습니다.
