Bulletin-id
Laatst bijgewerkt op
3 mei 2021
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB20-72
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB20-72 |
8 December 2020 |
2 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM) en het invoegtoepassingenpakket voor AEM Forms. Deze updates verhelpen kritieke en belangrijke kwetsbaarheden.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.6.0 en eerdere versies |
Alles |
|
| 6.4.8.2 en eerdere versies |
Alles |
|
| 6.3.3.8 en eerdere versies |
Alles |
|
| 6.2 SP1-CFP20 en eerdere versies |
Alles |
|
| Invoegtoepassing voor AEM Forms |
AEM Forms-servicepakket 6 invoegtoepassingenpakket voor AEM 6.5.6.0 |
Alles |
| AEM Forms-invoegtoepassingenpakket voor AEM 6.4-servicepakket 8 cumulatief reparatiepakket 2 (6.4.8.2) |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles | 2 | Releaseopmerkingen |
6.5.7.0 |
Alles |
2 |
Release-opmerkingen bij AEM 6.5-servicepakket |
|
6.4.8.3 |
Alles |
2 |
Release-opmerkingen bij het cumulatief reparatiepakket voor AEM 6.4 |
|
Invoegtoepassing voor AEM Forms |
AEM Forms-servicepakket 7 |
Alles |
2 |
AEM Forms-releases |
| AEM 6.4-servicepakket 8 CFP 3 |
Alles | 2 | AEM Forms-releases |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Adobe Experience Manager 6.5.7.0 is een belangrijke update met nieuwe functies, belangrijke door de klant gevraagde verbeteringen en verbeteringen op het gebied van prestaties, stabiliteit en beveiliging die sinds de algemene beschikbaarheid van versie 6.5 in april 2019 zijn uitgebracht. De update kan over Adobe Experience Manager 6.5 heen worden geïnstalleerd.
Opmerking:
Het cumulatief reparatiepakket 6.4.8.3 voor AEM is een belangrijke update die verschillende interne en klantenoplossingen omvat sinds de algemene beschikbaarheid van AEM 6.4-servicepakket 8 (6.4.8.0) in maart 2020. Het cumulatief reparatiepakket 6.4.8.3 voor AEM is afhankelijk van AEM 6.4-servicepakket 8. Daarom moet u het cumulatief reparatiepakket 6.4.8.3 voor AEM na installatie van AEM 6.4-servicepakket 8 installeren.
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummer |
Van toepassing op de volgende versies |
|---|---|---|---|---|
|
Blinde aanvraagvervalsing op de server |
Openbaarmaking van gevoelige informatie |
Belangrijk |
CVE-2020-24444 |
AEM Forms SP6 invoegtoepassing voor AEM 6.5.6.0 en eerder AEM Forms-invoegtoepassingenpakket voor AEM 6.4-servicepakket 8 cumulatief reparatiepakket 2 (6.4.8.2) en eerder |
|
Scripts die verwijzen naar andere sites (opgeslagen) |
|
Kritiek |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 en eerdere versies |
Updates voor afhankelijkheden
| Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
| Apache Abdera |
Resource consumption |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Apache Batik |
SSRF (aanvraagvervalsing op de server) |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Apache Commons Compress |
Resource consumption |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Apache OpenNLP |
Externe XML-entiteitinjectie (XXE) |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Apache Sling Scheduler Service |
Externe XML-entiteitinjectie (XXE) |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Apache Xerces2 |
Resource consumption |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| CKEditor |
Arbitraire uitvoering van JavaScript in de browser |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Eclipse Jetty |
Resource consumption |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Google-oauth-client |
Onjuiste autorisatie |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Handlebars.js |
Prototypevervuiling |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Jackson Mapper |
Externe XML-entiteitinjectie (XXE) |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| jQuery |
Arbitraire uitvoering van JavaScript in de browser |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Spring Framework |
Mappenlijst traversal |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
| Zip4j |
Mappenlijst traversal |
AEM CS AEM 6.5.6.0 en eerdere versies AEM 6.4.8.2 en eerdere versies AEM 6.3.3.8 en eerdere versies |
Dankbetuigingen
Adobe bedankt Frank Karlstrøm en Kenny Jansson van Storebrand Group, Noorwegen (CVE-2020-24444) voor de samenwerking met Adobe om onze klanten te helpen beschermen.
Revisies
13 januari 2021: Verwijderd AEM 6.4.8.2 en 6.3.3.8 uit de lijst van versies beïnvloed door CVE-2020-24445.
