Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB20-72

Bulletin-ID

Dato publisert

Prioritet

APSB20-72

8. desember 2020 

2

Sammendrag

Adobe har utgitt oppdateringer for Adobe Experience Manager (AEM) og AEM Forms-tilleggspakken. Disse oppdateringene løser sårbarheter klassifisert som Kritisk og Viktig.


Berørte produktversjoner

Produkt Versjon Plattform

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.6.0 og tidligere versjoner
Alle
6.4.8.2 og tidligere versjoner
Alle 
6.3.3.8 og tidligere versjoner
Alle 
6.2 SP1-CFP20 og tidligere versjoner 
Alle 
AEM Forms-tillegg 
AEM Forms Service Pack 6-tilleggspakke for AEM 6.5.6.0 
Alle 
AEM Forms-tilleggspakke for AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alle 2 Utgivelsesmerknader

6.5.7.0 

Alle

2

Produktmerknad for AEM 6.5 Service Pack   

6.4.8.3

Alle

2

Produktmerknad for AEM 6.4 Cumulative Fix Pack  

 

AEM Forms-tillegg

AEM Forms Service Pack 7
Alle
2
Produktmerknader for AEM Forms 
AEM 6.4 Service Pack 8 CFP 3
Alle 2 Produktmerknader for AEM Forms
Merk:

Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.  

Merk:

Adobe Experience Manager 6.5.7.0 er en viktig oppdatering som inkluderer nye funksjoner, viktige forbedringer fra kunder og ytelses-, stabilitets- og sikkerhetsforbedringer gitt ut siden den generelle tilgjengeligheten av 6.5-utgivelsen i april 2019.  Den kan installeres på toppen av Adobe Experience Manager 6.5.

Merk:

AEM Cumulative Fix Pack 6.4.8.3 er en viktig oppdatering som inkluderer flere interne og kundefiksinger siden den generelle tilgjengeligheten av AEM 6.4 Service Pack 8 (6.4.8.0) i mars 2020. AEM Cumulative Fix Pack 6.4.8.3 avhenger av AEM 6.4 Service Pack 8. Du må derfor installere AEM Cumulative Fix Pack 6.4.8.3-pakken etter å ha installert AEM 6.4 Service Pack 8.

Merk:

Kontakt Adobe customer care for assistanse med AEM-versjonene 6.3 og 6.2.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVE-nummer 

Berørte versjoner

Forfalskning av forespørsel på blind serverside

Avsløring av sensitiv informasjon

Viktig

CVE-2020-24444

AEM Forms SP6-tillegg for AEM 6.5.6.0 og eldre versjoner

AEM Forms-tilleggspakke for AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) og tidligere versjoner

Skripting på tvers av nettsteder (lagret)

Vilkårlig JavaScript-utførelse i nettleseren

Kritisk

CVE-2020-24445

AEM CS

AEM 6.5.6.0 og tidligere

Oppdateringer av avhengigheter

Avhengighet
Sikkerhetsprobleminnvirkning
Berørte versjoner
Apache Abdera
Kildeforbruk

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Batik
Forfalskning av forespørsel på serverside

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Commons Compress
Kildeforbruk

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache OpenNLP
Injeksjon av ekstern XML-enhet (XXE)

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Sling Scheduler Service
Injeksjon av ekstern XML-enhet (XXE)

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Apache Xerces2
Kildeforbruk

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

CKEditor
Vilkårlig JavaScript-utførelse i nettleseren

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Eclipse Jetty
Kildeforbruk

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Google-oauth-client
Feil autorisasjon

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Handlebars.js
Prototypeforurensning

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Jackson Mapper
Injeksjon av ekstern XML-enhet (XXE)

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

jQuery
Vilkårlig JavaScript-utførelse i nettleseren

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Spring Framework
Katalog traversal

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Zip4j
Katalog traversal

AEM CS

AEM 6.5.6.0 og tidligere

AEM 6.4.8.2 og tidligere

AEM 6.3.3.8 og tidligere

Takk

Adobe vil takke Frank Karlstrøm og Kenny Jansson fra Storebrand Group, Norge (CVE-2020-24444) for samarbeidet med Adobe for å beskytte våre kunder.

Revisjoner

13. januar 2021: Fjernet AEM 6.4.8.2 og 6.3.3.8 fra listen over versjoner påvirket av CVE-2020-24445.  

Adobe-logoen

Logg på kontoen din