Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB19-48

Bulletin-id

Publicatiedatum

Prioriteit

APSB19-48

15 oktober 2019

2

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Experience Manager (AEM). Deze updates lossen meerdere kwetsbaarheden op in AEM-versies 6.3, 6.4 en 6.5. Misbruik hiervan zou kunnen leiden tot ongeoorloofde toegang tot de AEM-omgeving.

Van toepassing op de volgende productversies

Product

Versie

Platform

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:

Product

Versie

Platform

Prioriteit

Beschikbaarheid

 

Adobe Experience Manager

6.5

Alles

2

Releases en updates

6.4

Alles

2

Releases en updates

6.3

Alles

2

Releases en updates

Neem contact op met de klantenservice van Adobe voor hulp bij eerdere AEM-versies.

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

CVE-nummer 

Van toepassing op de volgende versies Downloadpakket
Aanvraagvervalsing op meerdere sites Openbaarmaking van gevoelige informatie Belangrijk

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Weerspiegelde Cross-site scripting

Openbaarmaking van gevoelige informatie

 

Matig CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Opgeslagen Cross-site scripting Openbaarmaking van gevoelige informatie Belangrijk CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.4.0

Opgeslagen Cross-site scripting Bevoegdhedenescalatie Belangrijk 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Omzeilen van de verificatie

 

 

Openbaarmaking van gevoelige informatie Belangrijk CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Servicepack voor 6.5 - AEM 6.5.2.0 

Externe XML-entiteitinjectie

Openbaarmaking van gevoelige informatie

 

Belangrijk CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Cross-site scripting

Openbaarmaking van gevoelige informatie

 

Matig

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Servicepack voor 6.5 - AEM 6.5.2.0 

Weerspiegelde Cross-site scripting

Openbaarmaking van gevoelige informatie

 

 

Matig

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.5.0

Servicepack voor 6.5 - AEM 6.5.2.0 

Weerspiegelde Cross-site scripting

 

 

Openbaarmaking van gevoelige informatie

 

 

Matig

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.5.0

Servicepack voor 6.5 - AEM 6.5.2.0 

Externe XML-entiteitinjectie

 

 

Openbaarmaking van gevoelige informatie

 

 

Belangrijk

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Servicepack voor 6.5 - AEM 6.5.2.0 

Externe XML-entiteitinjectie

 

 

Openbaarmaking van gevoelige informatie

 

Belangrijk

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Servicepack voor 6.5 - AEM 6.5.2.0 

JavaScript-code-uitvoering

 

 

Willekeurige code-uitvoering

 

 

Kritiek

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Cumulatief reparatiepakket voor 6.3 SP3 – AEM-6.3.3.6

Servicepack voor 6.4 - AEM 6.4.6.0

Servicepack voor 6.5 - AEM 6.5.2.0 

Opmerking:

JavaScript-code-uitvoering (CVE-2019-8088) is alleen van invloed op versie 6.2.  Vanaf 6.3 wordt de strikt in een sandbox geplaatste Rhino-engine gebruikt om JavaScript uit te voeren, waardoor de impact van CVE-2019-8088 op SSRF- en DoS-aanvallen (respectievelijk blinde aanvraagvervalsing op de server en Denial of Service). 

Opmerking:

Opmerking: de pakketten in de bovenstaande tabel zijn de minimale reparatiepakketten om de betreffende fouten aan te pakken. Raadpleeg voor de nieuwste versie de hierboven genoemde koppelingen naar opmerkingen bij de release.

Dankbetuigingen

Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Revisies

15 oktober 2019: CVE-id bijgewerkt van CVE-2019-8077 tot CVE-2019-8234.

11 maart 2020: opmerking toegevoegd om te verduidelijken dat de JavaScript-code-uitvoering (CVE-2019-8088) alleen impact heeft op AEM 6.2.  

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online