Référence du bulletin
Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB20-72
|
Date de publication |
Priorité |
---|---|---|
APSB20-72 |
8 décembre 2020 |
2 |
Récapitulatif
Adobe a publié des mises à jour pour Adobe Experience Manager (AEM) et le package de modules complémentaires AEM Forms. Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes.
Versions concernées
Produit | Version | Plate-forme |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toutes |
Versions 6.5.6.0 et antérieures |
Toutes |
|
Versions 6.4.8.2 et antérieures |
Toutes |
|
Versions 6.3.3.8 et antérieures |
Toutes |
|
6.2 SP1-CFP20 et versions antérieures |
Toutes |
|
Module complémentaire AEM Forms |
Module complémentaire AEM Forms Service Pack 6 pour AEM 6.5.6.0 |
Toutes |
Package complémentaire AEM Forms pour AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit |
Version |
Plate-forme |
Priorité |
Disponibilité |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toutes | 2 | Notes de mise à jour |
6.5.7.0 |
Toutes |
2 |
Notes de mise à jour Service Pack pour AEM 6.5 |
|
6.4.8.3 |
Toutes |
2 |
Notes de mise à jour Pack cumulatif de correctifs pour AEM 6.4 |
|
Module complémentaire AEM Forms |
AEM Forms Service Pack 7 |
Toutes |
2 |
Versions AEM Forms |
AEM 6.4 Service Pack 8 CFP 3 |
Toutes | 2 | Versions AEM Forms |
Les clients qui utilisent Cloud Service d’Adobe Experience Manager recevront automatiquement des mises à jour incluant de nouvelles options, ainsi que des correctifs de bogues de sécurité et de fonctionnalité.
Adobe Experience Manager 6.5.7.0 représente une mise à jour importante. Elle comprend de nouvelles fonctionnalités, des améliorations demandées par des clients clés, ainsi que des améliorations liées aux performances, à la stabilité et à la sécurité publiées depuis le lancement de la version 6.5 en avril 2019. Elle peut être installée en plus d’Adobe Experience Manager 6.5.
Le pack cumulatif de correctifs 6.4.8.3 pour AEM représente une mise à jour importante qui comprend plusieurs corrections internes et clients depuis le lancement d’AEM 6.4 Service Pack 8 (6.4.8.0) en mars 2020. Le pack cumulatif de correctifs 6.4.8.3 pour AEM dépend d’AEM 6.4 Service Pack 8. Par conséquent, vous devez installer le package AEM Cumulative Fix Pack 6.4.8.3, après avoir installé AEM 6.4 Service Pack 8.
Veuillez contacter l’Assistance clientèle d’Adobe pour obtenir de l’aide sur les versions 6.2 et 6.3 d’AEM.
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
Référence CVE |
Versions concernées |
---|---|---|---|---|
Usurpation de requête masquée côté serveur |
Divulgation d’informations confidentielles |
Important |
CVE-2020-24444 |
Module complémentaire AEM Forms SP6 pour AEM 6.5.6.0 Versions et antérieures Package complémentaire AEM Forms pour AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) et versions précédentes |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Critique |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 et versions antérieures |
Mises à jour des dépendances
Dépendance |
Impact de la vulnérabilité |
Versions concernées |
Apache Abdera |
Consommation des ressources |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache Batik |
Usurpation de requête côté serveur |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Compresseur Apache Commons |
Consommation des ressources |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache OpenNLP |
Injection d’entités XML externes (XEE) |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Service de planification Apache Sling |
Injection d’entités XML externes (XEE) |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache Xerces2 |
Consommation des ressources |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
CKEditor |
Exécution arbitraire de code JavaScript dans le navigateur |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Eclipse Jetty |
Consommation des ressources |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Google-oauth-client |
Autorisation incorrecte |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Handlebars.js |
Pollution des prototypes |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Jackson Mapper |
Injection d’entités XML externes (XEE) |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
jQuery |
Exécution arbitraire de code JavaScript dans le navigateur |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Spring Framework |
Directory traversal |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Zip4j |
Directory traversal |
AEM CS AEM 6.5.6.0 et versions antérieures AEM 6.4.8.2 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Remerciements
Adobe tient à remercier Frank Karlstrøm et Kenny Jansson du Storebrand Group, Norvège (CVE-2020-24444) d’avoir joint leurs efforts aux nôtres pour protéger nos clients.
Révisions
13 janvier 2021 : Suppression de AEM 6.4.8.2 et 6.3.3.8 de la liste des versions affectées par CVE-2020-24445.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?