Beveiligingsadviezen van Adobe

Beveiligingsadviezen van Adobe

Zoeken

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Beveiligingsupdates beschikbaar voor Adobe Experience Manager

Releasedatum: 13 december 2016

Laatst bijgewerkt: 14 december 2016

ID kwetsbaarheidsprobleem: APSB16-42

Prioriteit: 2

CVE-nummer: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Platform: alle

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Experience Manager. Deze updates verhelpen drie belangrijke problemen met validatie van invoer die kunnen worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites) (CVE-2016-7882, CVE-2016-7883 en CVE-2016-7884). Tevens is een update inbegrepen die gebruikers beschermt tegen een belangrijke kwetsbaarheid door aanvraagvervalsing op meerdere sites (CVE-2016-7885).

Van toepassing op de volgende versies

Product Van toepassing op de volgende versies Platform
  6.2 Alles
Adobe Experience Manager 6.1 Alles
  6.0 Alles

Oplossing

Adobe raadt klanten met installaties op locatie aan de beschikbare onderstaande updates te installeren. Bovendien moeten klanten de stappen controleren en implementeren die worden beschreven in de beveiligingscontrolelijst voor versie 6.26.1 of 6.0.

Product Versies Prioriteitsbeoordeling Beschikbaarheid
  6.2
 2 Opmerking bij de release
Adobe Experience Manager 6.1 2 Opmerking bij de release
  6.0 2 Opmerking bij de release

Neem contact op met de klantenservice van Adobe voor hulp bij eerdere AEM-versies.

Details van kwetsbaarheid

Beschrijving CVE Van toepassing op de volgende versies Downloadpakket

De updates verhelpen een belangrijk probleem met validatie van invoer in het WCMDebug-filter dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites).

 CVE-2016-7882
 6.2 en eerdere versies Hotfix 12444 voor 6.2
Hotfix 12444 voor 6.1 SP2 [0]
Hotfix 12444 voor 6.0 SP3

De updates verhelpen een belangrijk probleem met validatie van invoer in de wizard voor het maken van lanceringen dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites).

 CVE-2016-7883
 6.2 Hotfix 13062 voor 6.2

De updates verhelpen een belangrijk probleem met validatie van invoer bij het maken van middelen in DAM dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites).

 CVE-2016-7884
 6.1 en eerdere versies Cumulatief oplossingenpakket voor 6.1 SP2
Hotfix 13297 voor 6.0 SP3

Het onderdeel Jackrabbit is bijgewerkt om gebruikers te beschermen tegen aanvraagvervalsing op meerdere sites.

 CVE-2016-7885 6.2 en eerdere versies Hotfix 13547 voor 6.2
Hotfix 12817 voor 6.1
Hotfix 12846 voor 6.0

[0] Opmerking: Hotfix 12444 voor 6.1 SP2 is opgenomen in AEM 6.1 SP2 CFP2.

Dankbetuigingen

Adobe dankt Daniel Hamid voor het melden van het probleem CVE-2016-7882 en voor de samenwerking met Adobe om onze klanten te helpen beschermen.  CVE-2016-7883, CVE-2016-7884 en CVE-2016-7885 zijn anoniem gemeld.

Revisies

14 december 2016: de platforms waarop het van invloed is, gewijzigd naar Alle (voorheen werden alleen Windows, Unix, Linux en OS X genoemd). Daarnaast is een opmerking opgenomen om duidelijk te maken dat Hotfix 12444 eerder was opgenomen bij AEM 6.1 SP2 CFP2.