Référence du bulletin
Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB21-15
|
Date de publication |
Priorité |
---|---|---|
APSB21-15 |
11 mai 2021 |
2 |
Récapitulatif
Adobe a publié des mises à jour pour Adobe Experience Manager (AEM). Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution arbitraire de code JavaScript dans le navigateur.
Versions concernées
Produit | Version | Plate-forme |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toutes |
versions 6.5.7.0 et antérieures |
Toutes |
|
6.4.8.3 et versions antérieures |
Toutes |
|
6.3.3.8 et versions antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit |
Version |
Plate-forme |
Priorité |
Disponibilité |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toutes | 2 | Notes de mise à jour |
6.5.8.0 |
Toutes |
2 |
Notes de mise à jour Service Pack pour AEM 6.5 | |
6.4.8.4 |
Toutes |
2 |
Notes de mise à jour Pack cumulatif de correctifs pour AEM 6.4 |
Les clients qui utilisent Cloud Service d’Adobe Experience Manager recevront automatiquement des mises à jour incluant de nouvelles options, ainsi que des correctifs de bogues de sécurité et de fonctionnalité.
Le pack cumulatif de correctifs 6.4.8.4 pour AEM représente une mise à jour importante qui comprend plusieurs corrections internes et clients depuis le lancement d’AEM 6.4 Service Pack 8 (6.4.8.0) en mars 2020.
Veuillez contacter l’Assistance clientèle d’Adobe pour obtenir de l’aide sur les versions 6.2 et 6.3 d’AEM.
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
Référence CVE |
Versions concernées |
---|---|---|---|---|
Contrôle d’accès incorrect |
Déni de service d’application |
Importante |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Cross-site scripting (XSS stocké) |
Exécution arbitraire de code JavaScript dans le navigateur |
Critique |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Mises à jour des dépendances
Dépendance |
Impact de la vulnérabilité |
Versions concernées |
Commons-io |
Contrôle d’accès incorrect |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
MetadataExtractor |
Consommation de ressources non contrôlée |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
FasterXML Jackson Databind/Core |
Exécution de code à distance |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Eclipse Jetty |
Contrôle d’accès incorrect |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Lucene Queryparser |
Exécution de code à distance |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache XML-RPC |
Exécution de code arbitraire |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Zip4j |
Exécution de code arbitraire |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache Directory LDAP API |
Contrôle d’accès incorrect | AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache Sling |
Contrôle d’accès incorrect | AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache Felix |
Exécution de code arbitraire |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache Solr |
Accès en lecture/écriture incorrect |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Apache Tomcat |
Contrôle d’accès incorrect |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
jQuery |
Exécution de code arbitraire |
AEM CS AEM 6.5.7.0 et versions antérieures AEM 6.4.8.3 et versions antérieures AEM 6.3.3.8 et versions antérieures |
Remerciements
Adobe tient à remercier Thomas Hartmann de netcentric (CVE-2021-21083) d’avoir signalé ces deux problèmes et joint ses efforts aux nôtres pour protéger nos clients.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?