Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB21-15

Bulletin-id

Publicatiedatum

Prioriteit

APSB21-15

11 mei 2021 

2

Samenvatting

Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen kritieke en belangrijke kwetsbaarheden.  Misbruik van deze kwetsbaarheden kan leiden tot willekeurige JavaScript-uitvoering in de browser.

Van toepassing op de volgende productversies

Product Versie Platform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alles
6.5.7.0 en eerdere versies 
Alles
6.4.8.3 en eerdere versies 
Alles 
6.3.3.8 en eerdere versies
Alles 

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:

Product

Versie

Platform

Prioriteit

Beschikbaarheid

 

Adobe Experience Manager (AEM) 

AEM Cloud Service (CS)
Alles 2 Releaseopmerkingen

6.5.8.0 

Alles

2

Release-opmerkingen bij AEM 6.5-servicepakket   

6.4.8.4 

Alles

2

Release-opmerkingen bij het cumulatief reparatiepakket voor AEM 6.4  

Opmerking:

Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.  

Opmerking:

Het cumulatief reparatiepakket 6.4.8.4 voor AEM is een belangrijke update die verschillende interne en klantenoplossingen omvat sinds de algemene beschikbaarheid van AEM 6.4-servicepakket 8 (6.4.8.0) in maart 2020.

Opmerking:

Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.3 en 6.2 van AEM.

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

CVE-nummer 

Van toepassing op de volgende versies

Foutief toegangsbeheer

Application denial-of-service

Belangrijk

CVE-2021-21083

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Scripts die verwijzen naar andere sites (opgeslagen)

Arbitraire uitvoering van JavaScript in de browser

Kritiek

CVE-2021-21084

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies 

Updates voor afhankelijkheden

Afhankelijkheid
Impact van kwetsbaarheid
Van toepassing op de volgende versies
Commons-io
Foutief toegangsbeheer

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies 

MetadataExtractor
Uncontrolled Resource Consumption

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

FasterXML Jackson Databind/Core
Externe code-uitvoering

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Eclipse Jetty
Foutief toegangsbeheer

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Lucene Queryparser
Externe code-uitvoering

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Apache XML-RPC
Willekeurige code-uitvoering

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Zip4j
Willekeurige code-uitvoering

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Apache Directory LDAP API
Foutief toegangsbeheer

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Apache Sling
Foutief toegangsbeheer

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Apache Felix
Willekeurige code-uitvoering

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Apache Solr
Foutieve toegang tot Lezen/Schrijven

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Apache Tomcat
Foutief toegangsbeheer

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

jQuery
Willekeurige code-uitvoering

AEM CS 

AEM 6.5.7.0 en eerdere versies 

AEM 6.4.8.3 en eerdere versies 

AEM 6.3.3.8 en eerdere versies

Dankbetuigingen

Adobe bedankt Thomas Hartmann van netcentric (CVE-2021-21083) voor het melden van beide problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen. 

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?