Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB19-48

Bulletin-ID

Dato publisert

Prioritet

APSB19-48

15. oktober 2019

2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene oppdaterer flere sikkerhetsproblemer i AEM versjon  6.3, 6.4 og 6.5. Vellykket utnytting kan føre til uautorisert tilgang til AEM-miljøet..  

Berørte produktversjoner

Produkt

Versjon

Plattform

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

 

Adobe Experience Manager

6.5

Alle

2

Versjoner og oppdateringer

6.4

Alle

2

Versjoner og oppdateringer

6.3

Alle

2

Versjoner og oppdateringer

Kontakt Adobes kunde service for hjelp med tidligere AEM-versjoner.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVE-nummer 

Berørte versjoner Nedlastingspakke
Forfalskning av forespørsel på tvers av nettsteder Avsløring av sensitiv informasjon Viktig

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Gjenspeilet skripting på tvers av nettsteder

Avsløring av sensitiv informasjon

 

Moderat CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Lagret skripting på tvers av nettsteder Avsløring av sensitiv informasjon Viktig CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.4.0

Lagret skripting på tvers av nettsteder Rettighetsutvidelse Viktig 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Autentiseringsomgåelse

 

 

Avsløring av sensitiv informasjon Viktig CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Service Pack for 6.5 – AEM-6.5.2.0 

Injeksjon av ekstern XML-enhet

Avsløring av sensitiv informasjon

 

Viktig CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Skripting på tvers av nettsteder

Avsløring av sensitiv informasjon

 

Moderat

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Service Pack for 6.5 – AEM-6.5.2.0 

Gjenspeilet skripting på tvers av nettsteder

Avsløring av sensitiv informasjon

 

 

Moderat

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.5.0

Service Pack for 6.5 – AEM-6.5.2.0 

Gjenspeilet skripting på tvers av nettsteder

 

 

Avsløring av sensitiv informasjon

 

 

Moderat

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.5.0

Service Pack for 6.5 – AEM-6.5.2.0 

Injeksjon av ekstern XML-enhet

 

 

Avsløring av sensitiv informasjon

 

 

Viktig

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Service Pack for 6.5 – AEM-6.5.2.0 

Injeksjon av ekstern XML-enhet

 

 

Avsløring av sensitiv informasjon

 

Viktig

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Service Pack for 6.5 – AEM-6.5.2.0 

JavaScript-kodeinjeksjon

 

 

Vilkårlig kjøring av kode

 

 

Kritisk

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Samlet reparasjonspakke for 6.3 SP3 – AEM-6.3.3.6

Service Pack for 6.4 – AEM-6.4.6.0

Service Pack for 6.5 – AEM-6.5.2.0 

Merk:

Kjøring av JavaScript-kode (CVE-2019-8088) påvirker bare versjon 6.2.Fra og med 6.3 brukes Rhino-motoren i streng sandkassemodus til å kjøre JavaScript, noe som reduserer påvirkningen av CVE-2019-8088 på blinde angrep i form av forflaskning av forespørsel på serverside (SSRF) tjenestenektangrep (DoS). 

Merk:

Obs! Pakkene som vises i tabellen ovenfor, er minimum antall reparasjonspakker som kreves for å løse det relevante sikkerhetsproblemet.  Se koblingene til produktmerknadene ovenfor for de nyeste versjonene.

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Revisjoner

15. oktober 2019: Oppdaterte CVE-ID fra CVE-2019-8077 til CVE-2019-8234.

11. mars 2020: Satte inn en merknad for å gjøre det klart at kjøring av JavaScript-kode (CVE-2019-8088) bare berører AEM 6.2.  

Adobe-logoen

Logg på kontoen din