Adobe-Sicherheitsbulletin

Sicherheits-Hotfixes für Adobe Experience Manager

Veröffentlichungsdatum:9. August 2016

Kennung der Sicherheitslücke: APSB16-27

Priorität: 2

CVE-Nummern: CVE-2016-4168, CVE-2016-4169, CVE-2016-4170, CVE-2016-4253

Plattform: Windows, Unix, Linux und OS X

Zusammenfassung

Adobe hat Sicherheits-Hotfixes für Adobe Experience Manager veröffentlicht. Mit diesen Hotfixes werden zwei wichtige Probleme bei der Eingabevalidierung, die in Cross-Site-Scripting-Angriffen verwendet werden könnten (CVE-2016-4168 und CVE-2016-4170), eine wichtige Sicherheitslücke in der Backup-Funktion, die zur Offenlegung von Informationen führen könnte (CVE-2016-4253), und eine wichtige Sicherheitslücke, durch die Prüfprotokollereignisse unprivilegierten Benutzern angezeigt werden können (CVE-2016-4169), behoben.

Betroffene Versionen

Produkt Betroffene Versionen Plattform
  6.2 Windows, Unix, Linux und OS X
Adobe Experience Manager 6.1 Windows, Unix, Linux und OS X
  6.0 Windows, Unix, Linux und OS X
  5.6.1 Windows, Unix, Linux und OS X

Lösung

Adobe empfiehlt Kunden mit Bereitstellungen vor Ort die Installation der nachfolgend aufgeführten verfügbaren Hotfixes. Darüber hinaus sollten Kunden die in den Sicherheits-Checklisten für die Versionen 6.26.16.0 bzw. 5.6.1 aufgeführten Schritte überprüfen und umsetzen.

Produkt Versionen Priorität Verfügbarkeit
  6.2
2 Hotfixes (6.2)
Adobe Experience Manager 6.1 2 Hotfixes (6.1)
  6.0 2 Hotfixes (6.0)
  5.6.1 2 Hotfixes (5.6.1)

Weitere Informationen zu verfügbaren Hotfixes erhalten Sie auch auf der Hilfeseite zu Adobe Experience Manager.  

Sicherheitslückendetails

Beschreibung CVE Betroffene Versionen Download-Paket

Durch die Hotfixes wird eine Sicherheitslücke bei der Eingabevalidierung, die in Cross-Site-Scripting-Angriffen verwendet werden könnte, behoben.

CVE-2016-4168
6.1 und frühere Versionen Hotfix 9639 für 6.1
Hotfix 10767 für 6.0
Hotfix 10764 für 5.6.1

Durch die Hotfixes wird eine Sicherheitslücke, durch die Prüfprotokollereignisse unter Umständen unprivilegierten Benutzern angezeigt werden könnten, behoben.

CVE-2016-4169
6.2, 6.1 und 6.0 Hotfix 10956 für 6.2
Hotfix 10768 für 6.1
Hotfix 10767 für 6.0

Durch die Hotfixes wird eine Sicherheitslücke bei der Eingabevalidierung, die in Cross-Site-Scripting-Angriffen verwendet werden könnte, behoben.

CVE-2016-4170
6.2 und frühere Versionen Hotfix 10936 für 6.2
Hotfix 10936 für 6.1
Hotfix 10936 für 6.0
Hotfix 10936 für 5.6.1

Durch die Hotfixes wird eine Sicherheitslücke in der Backup-Funktion, die zur Offenlegung von Informationen führen könnte, behoben.

CVE-2016-4253 6.2 und frühere Versionen Hotfix 10870 für 6.2
Hotfix 10870 für 6.1
Hotfix 10870 für 6.0
Hotfix 10870 für 5.6.1

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und ihren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Adam Willard von Raytheon Foreground Security (CVE-2016-4168)
  • Ninad Sarang (@hbkninad) (CVE-2016-4169)
  • Franz Saller (CVE-2016-4170)
  • Kyle Lovett (CVE-2016-4253)