Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB20-72

Référence du bulletin

Date de publication

Priorité 

APSB20-72

8 décembre 2020 

2

Récapitulatif

Adobe a publié des mises à jour pour Adobe Experience Manager (AEM) et le package de modules complémentaires AEM Forms. Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes.


Versions concernées

Produit Version  Plate-forme

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Toutes
Versions 6.5.6.0 et antérieures
Toutes
Versions 6.4.8.2 et antérieures
Toutes 
Versions 6.3.3.8 et antérieures
Toutes 
6.2 SP1-CFP20 et versions antérieures 
Toutes 
Module complémentaire AEM Forms 
Module complémentaire AEM Forms Service Pack 6 pour AEM 6.5.6.0 
Toutes 
Package complémentaire AEM Forms pour AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version 

Plate-forme

Priorité 

Disponibilité

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Toutes 2 Notes de mise à jour

6.5.7.0 

Toutes

2

Notes de mise à jour Service Pack pour AEM 6.5

6.4.8.3

Toutes

2

Notes de mise à jour Pack cumulatif de correctifs pour AEM 6.4  

 

Module complémentaire AEM Forms

AEM Forms Service Pack 7
Toutes
2
Versions AEM Forms 
AEM 6.4 Service Pack 8 CFP 3
Toutes 2 Versions AEM Forms
Remarque :

Les clients qui utilisent Cloud Service d’Adobe Experience Manager recevront automatiquement des mises à jour incluant de nouvelles options, ainsi que des correctifs de bogues de sécurité et de fonctionnalité.  

Remarque :

Adobe Experience Manager 6.5.7.0 représente une mise à jour importante. Elle comprend de nouvelles fonctionnalités, des améliorations demandées par des clients clés, ainsi que des améliorations liées aux performances, à la stabilité et à la sécurité publiées depuis le lancement de la version 6.5 en avril 2019.  Elle peut être installée en plus d’Adobe Experience Manager 6.5.

Remarque :

Le pack cumulatif de correctifs 6.4.8.3 pour AEM représente une mise à jour importante qui comprend plusieurs corrections internes et clients depuis le lancement d’AEM 6.4 Service Pack 8 (6.4.8.0) en mars 2020. Le pack cumulatif de correctifs 6.4.8.3 pour AEM dépend d’AEM 6.4 Service Pack 8. Par conséquent, vous devez installer le package AEM Cumulative Fix Pack 6.4.8.3, après avoir installé AEM 6.4 Service Pack 8.

Remarque :

Veuillez contacter l’Assistance clientèle d’Adobe pour obtenir de l’aide sur les versions 6.2 et 6.3 d’AEM.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Référence CVE 

Versions concernées

Usurpation de requête masquée côté serveur

Divulgation d’informations confidentielles

Important

CVE-2020-24444

Module complémentaire AEM Forms SP6 pour AEM 6.5.6.0 Versions  et antérieures

Package complémentaire AEM Forms pour AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) et versions précédentes

Cross-site scripting (XSS stocké)

Exécution arbitraire de code JavaScript dans le navigateur

Critique

CVE-2020-24445

AEM CS

AEM 6.5.6.0 et versions antérieures

Mises à jour des dépendances

Dépendance
Impact de la vulnérabilité
Versions concernées
Apache Abdera
Consommation des ressources

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Apache Batik
Usurpation de requête côté serveur

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Compresseur Apache Commons
Consommation des ressources

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Apache OpenNLP
Injection d’entités XML externes (XEE)

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Service de planification Apache Sling
Injection d’entités XML externes (XEE)

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Apache Xerces2
Consommation des ressources

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

CKEditor
Exécution arbitraire de code JavaScript dans le navigateur

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Eclipse Jetty
Consommation des ressources

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Google-oauth-client
Autorisation incorrecte

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Handlebars.js
Pollution des prototypes

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Jackson Mapper
Injection d’entités XML externes (XEE)

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

jQuery
Exécution arbitraire de code JavaScript dans le navigateur

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Spring Framework
Directory traversal

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Zip4j
Directory traversal

AEM CS

AEM 6.5.6.0 et versions antérieures

AEM 6.4.8.2 et versions antérieures

AEM 6.3.3.8 et versions antérieures

Remerciements

Adobe tient à remercier Frank Karlstrøm et Kenny Jansson du Storebrand Group, Norvège (CVE-2020-24444) d’avoir joint leurs efforts aux nôtres pour protéger nos clients.    

Révisions

13 janvier 2021 : Suppression de AEM 6.4.8.2 et 6.3.3.8 de la liste des versions affectées par CVE-2020-24445.  

Logo Adobe

Accéder à votre compte

[Feedback V2 Badge]