Bulletin-ID
Sist oppdatert
7. mai 2021
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB19-48
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
APSB19-48 |
15. oktober 2019 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene oppdaterer flere sikkerhetsproblemer i AEM versjon 6.3, 6.4 og 6.5. Vellykket utnytting kan føre til uautorisert tilgang til AEM-miljøet..
Berørte produktversjoner
|
Produkt |
Versjon |
Plattform |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Alle |
2 |
|
6.4 |
Alle |
2 |
||
6.3 |
Alle |
2 |
Kontakt Adobes kunde service for hjelp med tidligere AEM-versjoner.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVE-nummer |
Berørte versjoner | Nedlastingspakke |
|---|---|---|---|---|---|
| Forfalskning av forespørsel på tvers av nettsteder | Avsløring av sensitiv informasjon | Viktig | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Gjenspeilet skripting på tvers av nettsteder | Avsløring av sensitiv informasjon
|
Moderat | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Lagret skripting på tvers av nettsteder | Avsløring av sensitiv informasjon | Viktig | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Lagret skripting på tvers av nettsteder | Rettighetsutvidelse | Viktig | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Autentiseringsomgåelse
|
Avsløring av sensitiv informasjon | Viktig | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6 |
| Injeksjon av ekstern XML-enhet | Avsløring av sensitiv informasjon
|
Viktig | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Skripting på tvers av nettsteder | Avsløring av sensitiv informasjon
|
Moderat
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6 |
| Gjenspeilet skripting på tvers av nettsteder | Avsløring av sensitiv informasjon
|
Moderat
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6 |
Gjenspeilet skripting på tvers av nettsteder
|
Avsløring av sensitiv informasjon
|
Moderat
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6 |
Injeksjon av ekstern XML-enhet
|
Avsløring av sensitiv informasjon
|
Viktig
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6 |
Injeksjon av ekstern XML-enhet
|
Avsløring av sensitiv informasjon
|
Viktig
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6 |
JavaScript-kodeinjeksjon
|
Vilkårlig kjøring av kode
|
Kritisk
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6 |
Merk:
Kjøring av JavaScript-kode (CVE-2019-8088) påvirker bare versjon 6.2.Fra og med 6.3 brukes Rhino-motoren i streng sandkassemodus til å kjøre JavaScript, noe som reduserer påvirkningen av CVE-2019-8088 på blinde angrep i form av forflaskning av forespørsel på serverside (SSRF) tjenestenektangrep (DoS).
Merk:
Obs! Pakkene som vises i tabellen ovenfor, er minimum antall reparasjonspakker som kreves for å løse det relevante sikkerhetsproblemet. Se koblingene til produktmerknadene ovenfor for de nyeste versjonene.
Takk
Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay fra T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Revisjoner
15. oktober 2019: Oppdaterte CVE-ID fra CVE-2019-8077 til CVE-2019-8234.
11. mars 2020: Satte inn en merknad for å gjøre det klart at kjøring av JavaScript-kode (CVE-2019-8088) bare berører AEM 6.2.
