Bulletin-id
Laatst bijgewerkt op
5 nov. 2021
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB21-82
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB21-82 |
14 september 2021 |
2 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen kritieke en belangrijke kwetsbaarheden. Misbruik van deze kwetsbaarheden kan leiden tot willekeurige code-uitvoering.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.9.0 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles | 2 | Releaseopmerkingen |
6.5.10.0 |
Alles |
2 |
Release-opmerkingen bij AEM 6.5-servicepakket |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
CVE-2021-40711 |
|
Onjuiste invoervalidatie (CWE-20) |
Application denial-of-service |
Belangrijk |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-40712 |
|
Onjuiste certificaatvalidatie (CWE-295) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2021-40713 |
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-40714 |
|
Onjuist toegangsbeheer (CWE-284) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C: |
|
Updates voor afhankelijkheden
| Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
| Iodash |
Uitvoering van willekeurige code |
AEM CS AEM 6.5.9.0 en eerdere versies |
| Apache Sling | Path traversal | AEM CS AEM 6.5.9.0 en eerdere versies |
| Jetty |
Denial of Service |
AEM CS AEM 6.5.9.0 en eerdere versies |
| Jackson-databind |
Niet-gecontroleerde toewijzing van bytebuffer |
AEM CS AEM 6.5.9.0 en eerdere versies |
Dankbetuigingen
Adobe bedankt Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) en Eckbert Andresen (CVE-2021-42725) voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen.
Revisies
27 september 2021: dankbetuigingen aangepast voor CVE-2021-40711 en CVE-2021-40712.
4 oktober 2021: CVSS-basisscore en -vector en ernstniveau aangepast voor CVE-2021-40711.
28 oktober 2021: details toegevoegd voor CVE-2021-42725.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
