Beveilingshotfixes beschikbaar voor Adobe Experience manager

Releasedatum: 9 augustus 2016

ID kwetsbaarheidsprobleem: APSB16-27

Prioriteit: 2

CVE-nummer: CVE-2016-4168, CVE-2016-4169, CVE-2016-4170, CVE-2016-4253

Platform:  Windows, Unix, Linux en OS X

Samenvatting

Adobe heeft beveiligingshotfixes vrijgegeven voor Adobe Experience Manager. Deze hotfix verhelpt twee belangrijke problemen met validatie van invoer die kunnen worden gebruikt in aanvallen via scripts (CVE-2016-4168 en CVE-2016-4170) die op meerdere sites worden uitgevoerd. Een belangrijke kwetsbaarheid in de back-upfunctie die kan leiden tot openbaarmaking van informatie (CVE-2016-4253), en een belangrijke kwetsbaarheid waardoor auditlogboekgebeurtenissen kunnen worden vrijgeven aan gebruikers zonder rechten (CVE-2016-4169).

Van toepassing op de volgende versies

Product Van toepassing op de volgende versies Platform
  6.2 Windows, Unix, Linux en OS X
Adobe Experience Manager 6.1 Windows, Unix, Linux en OS X
  6.0 Windows, Unix, Linux en OS X
  5.6.1 Windows, Unix, Linux en OS X

Oplossing

Adobe raadt klanten met installaties op locatie aan de beschikbare onderstaande hotfixes te installeren. Bovendien moeten klanten de stappen controleren en implementeren die worden beschreven in de Beveiligingcontrolelijsten voor versies 6.2, 6.1, 6.0 of 5.6.1.

Product Versies Prioriteitsbeoordeling Beschikbaarheid
  6.2
2 Hotfixes (6.2)
Adobe Experience Manager 6.1 2 Hotfixes (6.1)
  6.0 2 Hotfixes (6.0)
  5.6.1 2 Hotfixes (5.6.1)

Ga naar de helppagina van Adobe Experience Manager voor meer informatie over beschikbare hotfixes.  

Details van kwetsbaarheid

Beschrijving CVE Van toepassing op de volgende versies Downloadpakket

Deze hotfixes verhelpen een invoervalideringsprobleem dat kan worden gebruikt voor betrokken XSS-aanvallen (scripts tussen websites onderling)

CVE-2016-4168
6.1 en eerdere versies Hotfix 9639 voor 6.1
Hotfix 10767 voor 6.0
Hotfix 10764 voor 5.6.1

Hotfix verhelpt een kwetsbaarheid waardoor auditlogboekgebeurtenissen kunnen worden vrijgeven aan gebruikers zonder rechten.

CVE-2016-4169
6.2, 6.1 en 6.0 Hotfix 10956 voor 6.2
Hotfix 10768 voor 6.1
Hotfix 10767 voor 6.0

Deze hotfixes verhelpen een invoervalideringsprobleem dat kan worden gebruikt voor betrokken XSS-aanvallen (scripts tussen websites onderling)

CVE-2016-4170
6.2 en eerdere versies Hotfix 10936 voor 6.2
Hotfix 10936 voor 6.1
Hotfix 10936 voor 6.0
Hotfix 10936 voor 5.6.1

Hotfix verhelpt een kwetsbaarheid in de back-upfunctie die kan leiden tot openbaarmaking van informatie.

CVE-2016-4253 6.2 en eerdere versies Hotfix 10870 voor 6.2
Hotfix 10870 voor 6.1
Hotfix 10870 voor 6.0
Hotfix 10870 voor 5.6.1

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:

  • Adam Willard van Raytheon-Voorgrondbeveiliging (CVE-2016-4168)
  • Ninad Sarang (@hbkninad) (CVE-2016-4169)
  • Franz Saller (CVE-2016-4170)
  • Kyle Lovett (CVE-2016-4253)