Bulletin-ID
Sist oppdatert
7. mai 2021
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB20-72
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
APSB20-72 |
8. desember 2020 |
2 |
Sammendrag
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.6.0 og tidligere versjoner |
Alle |
|
| 6.4.8.2 og tidligere versjoner |
Alle |
|
| 6.3.3.8 og tidligere versjoner |
Alle |
|
| 6.2 SP1-CFP20 og tidligere versjoner |
Alle |
|
| AEM Forms-tillegg |
AEM Forms Service Pack 6-tilleggspakke for AEM 6.5.6.0 |
Alle |
| AEM Forms-tilleggspakke for AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Utgivelsesmerknader |
6.5.7.0 |
Alle |
2 |
Produktmerknad for AEM 6.5 Service Pack |
|
6.4.8.3 |
Alle |
2 |
||
AEM Forms-tillegg |
AEM Forms Service Pack 7 |
Alle |
2 |
Produktmerknader for AEM Forms |
| AEM 6.4 Service Pack 8 CFP 3 |
Alle | 2 | Produktmerknader for AEM Forms |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Adobe Experience Manager 6.5.7.0 er en viktig oppdatering som inkluderer nye funksjoner, viktige forbedringer fra kunder og ytelses-, stabilitets- og sikkerhetsforbedringer gitt ut siden den generelle tilgjengeligheten av 6.5-utgivelsen i april 2019. Den kan installeres på toppen av Adobe Experience Manager 6.5.
Merk:
AEM Cumulative Fix Pack 6.4.8.3 er en viktig oppdatering som inkluderer flere interne og kundefiksinger siden den generelle tilgjengeligheten av AEM 6.4 Service Pack 8 (6.4.8.0) i mars 2020. AEM Cumulative Fix Pack 6.4.8.3 avhenger av AEM 6.4 Service Pack 8. Du må derfor installere AEM Cumulative Fix Pack 6.4.8.3-pakken etter å ha installert AEM 6.4 Service Pack 8.
Merk:
Kontakt Adobe customer care for assistanse med AEM-versjonene 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVE-nummer |
Berørte versjoner |
|---|---|---|---|---|
|
Forfalskning av forespørsel på blind serverside |
Avsløring av sensitiv informasjon |
Viktig |
CVE-2020-24444 |
AEM Forms SP6-tillegg for AEM 6.5.6.0 og eldre versjoner AEM Forms-tilleggspakke for AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) og tidligere versjoner |
|
Skripting på tvers av nettsteder (lagret) |
Vilkårlig JavaScript-utførelse i nettleseren |
Kritisk |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 og tidligere |
Oppdateringer av avhengigheter
| Avhengighet |
Sikkerhetsprobleminnvirkning |
Berørte versjoner |
| Apache Abdera |
Kildeforbruk |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Apache Batik |
Forfalskning av forespørsel på serverside |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Apache Commons Compress |
Kildeforbruk |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Apache OpenNLP |
Injeksjon av ekstern XML-enhet (XXE) |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Apache Sling Scheduler Service |
Injeksjon av ekstern XML-enhet (XXE) |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Apache Xerces2 |
Kildeforbruk |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| CKEditor |
Vilkårlig JavaScript-utførelse i nettleseren |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Eclipse Jetty |
Kildeforbruk |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Google-oauth-client |
Feil autorisasjon |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Handlebars.js |
Prototypeforurensning |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Jackson Mapper |
Injeksjon av ekstern XML-enhet (XXE) |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| jQuery |
Vilkårlig JavaScript-utførelse i nettleseren |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Spring Framework |
Katalog traversal |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
| Zip4j |
Katalog traversal |
AEM CS AEM 6.5.6.0 og tidligere AEM 6.4.8.2 og tidligere AEM 6.3.3.8 og tidligere |
Takk
Adobe vil takke Frank Karlstrøm og Kenny Jansson fra Storebrand Group, Norge (CVE-2020-24444) for samarbeidet med Adobe for å beskytte våre kunder.
Revisjoner
13. januar 2021: Fjernet AEM 6.4.8.2 og 6.3.3.8 fra listen over versjoner påvirket av CVE-2020-24445.
