Adobe – sikkerhetsbulletin

Sikkerhetsoppdatering tilgjengelig for Adobe Experience Manager

Utgivelsesdato: 13. desember 2016

Sist oppdatert: 14. desember 2016

Sikkerhetsbruddidentifikator: APSB16-42

Prioritet: 2

CVE-nummer: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Plattform: alle

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Experience Manager. Disse oppdateringene løser tre viktige inndatavalideringsproblemer som kan brukes i skriptangrep på tvers av nettsteder (CVE-2016-7882, CVE-2016-7883 og CVE-2016-7884), og inkluderer en oppdatering for å beskytte brukere mot et viktig sikkerhetsproblem med forfalskning av forespørsler på tvers av nettsteder (CVE-2016-7885).

Berørte versjoner

Produkt Berørte versjoner Plattform
  6.2 Alle
Adobe Experience Manager 6.1 Alle
  6.0 Alle

Løsning

Adobe anbefaler kunder med lokale distribusjoner å installere de tilgjengelige oppdateringene som beskrives nedenfor. I tillegg bør kunder se gjennom og implementere fremgangsmåten som er beskrevet i sikkerhetssjekklistene for versjonene 6.26.1 eller 6.0.

Produkt Versjoner Prioritet klassifisering Tilgjengelighet
  6.2
2 Produktmerknad
Adobe Experience Manager 6.1 2 Produktmerknad
  6.0 2 Produktmerknad

Kontakt Adobes kundeservice for hjelp med tidligere AEM-versjoner.

Mer informasjon om sikkerhetsproblemet

Beskrivelse CVE Berørte versjoner Nedlastingspakke

Oppdateringene løser et viktig inndatavalideringsproblem som kan brukes i skriptangrep på tvers av nettsteder.

CVE-2016-7882
6.2 og tidligere versjoner Hurtigreparasjon 12444 for 6.2
Hurtigreparasjon 12444 for 6.1 SP2 [0]
Hurtigreparasjon 12444 for 6.0 SP3

Oppdateringene løser et viktig inndatavalideringsproblem i Create Launch Wizard som kan brukes i skriptangrep på tvers av nettsteder.

CVE-2016-7883
6.2 Hurtigreparasjon 13062 for 6.2

Oppdateringene løser et viktig inndatavalideringsproblem i DAM Create Assets som kan brukes i skriptangrep på tvers av nettsteder.

CVE-2016-7884
6.1 og tidligere versjoner Samlet reparasjonspakke for 6.1 SP2
Hurtigreparasjon 13297 for 6.0 SP3

Oppdateringer i Jackrabbit-komponenten for å beskyttere brukere mot forfalskning av forespørsler på tvers av nettsteder.

CVE-2016-7885 6.2 og tidligere versjoner Hurtigreparasjon 13547 for 6.2
Hurtigreparasjon 12817 for 6.1
Hurtigreparasjon 12846 for 6.0

[0] Obs! Hurtigreparasjon 12444 for 6.1 SP2 er inkludert i AEM 6.1 SP2 CFP2.

Takk

Adobe takker Daniel Hamid for å rapportere problemet CVE-2016-7882 og samarbeide med oss for å beskytte kundene våre.  CVE-2016-7883, CVE-2016-7884 og CVE-2016-7885 ble rapportert anonymt.

Revisjoner

14. desember 2016: Endret de berørte plattformene til Alle (tidligere angitt Windows, Unix, Linux og OS X). La også til en merknad for å presisere at hurtigreparasjon 12444 var tidligere inkludert i AEM 6.1 SP2 CFP2.