Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager

Fecha de publicación: 9 de febrero de 2016

Última actualización: 12 de febrero de 2016

Identificador de vulnerabilidad: APSB16-05

Prioridad: 2

Número CVE: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Plataforma: Windows, Unix, Linux y OS X

Resumen

Adobe ha lanzado revisiones de seguridad para Adobe Experience Manager. Estas revisiones solucionan vulnerabilidades importantes que podría dar lugar a una divulgación de información.  

Versiones afectadas

Producto Versiones afectadas Plataforma
  6.1.0 Windows, Unix, Linux y OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux y OS X
  5.6.1 Windows, Unix, Linux y OS X

Solución

Adobe recomienda a los clientes con implementaciones in situ que instalen las revisiones disponibles que se indican a continuación.  Además, los clientes deben revisar e implementar los pasos descritos en las comprobaciones de seguridad para las versiones 6.1, 6.0 o 5.6.1.

Producto Versiones Nivel de prioridad Disponibilidad
  6.1.0
2 Revisiones (6.1.0)
Adobe Experience Manager 6.0.0 2 Revisiones (6.0)
  5.6.1 2 Revisiones (5.6.1)

Visite la página de ayuda para obtener más información sobre las revisiones disponibles.  

Detalles sobre la vulnerabilidad

Descripción CVE Paquete de descarga
  • La revisión 8364 incluye un agente de corrección de problemas de deserialización Java
CVE-2016-0958

Revisión para la versión 6.1
Revisión para la versión 6.0
Revisión para la versión 5.6.1

  • La revisión 8651 soluciona una vulnerabilidad de secuencias de comandos en sitios cruzados (afecta únicamente a la versión 6.1.0) que podría provocar una divulgación de información
CVE-2016-0955

Revisión para la versión 6.1

  • La revisión 6445 soluciona una vulnerabilidad de divulgación de información que afecta a Apache Sling Servlets Post 2.3.6 y versiones anteriores
CVE-2016-0956

Revisión para la versión 6.1
Revisión para la versión 6.0
Revisión para la versión 5.6.1

  • El distribuidor 4.1.5 y versiones posteriores solucionan una vulnerabilidad de evasión de filtro URL que se podría utilizar para evitar las reglas del distribuidor
CVE-2016-0957 Distribuidor

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Damian Pfammatter de Compass Security Schweiz AG (CVE-2016-0955)
  • Ateeq ur Rehman Khan - Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

Revisiones

12 de febrero de 2016:

  • Se ha añadido "y versiones anteriores" para indicar que la vulnerabilidad CVE-2016-0956 afecta a Apache Sling Servlets Post 2.3.6 y versiones anteriores.  
  • Se ha modificado la descripción de la vulnerabilidad CVE-2016-0955 para indicar que solo afecta a la versión 6.1.0. La vulnerabilidad CVE-2016-0955 no afecta a las versiones anteriores a AEM 6.1.0.  
  • Se ha cambiado el formato de la sección Detalles sobre la vulnerabilidad a un formato tabular y se han incluido URLs hacia los paquetes de descarga de cada revisión.