Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB21-82

Bulletin-ID

Dato publisert

Prioritet

APSB21-82

tirsdag 14. september 2021 

2

Sammendrag

Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sårbarheter klassifisert som kritiske og viktige. Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB21-15

Berørte produktversjoner

Produkt Versjon Plattform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alle
6.5.9.0 og tidligere versjoner 
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alle 2 Utgivelsesmerknader

6.5.10.0 

Alle

2

Produktmerknad for AEM 6.5 Service Pack 
Merk:

Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.  

Merk:

Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVSS-grunnscore 

CVE-nummer 

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

Feil inndatavalidering (CWE-20)

Program, tjenestenekt

Viktig

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

Feil sertifikatvalidering (CWE-295)

Omgåelse av sikkerhetsfunksjon

Viktig

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

Feil tilgangskontroll (CWE-284)

Omgåelse av sikkerhetsfunksjon

Viktig

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

Oppdateringer av avhengigheter

Avhengighet
Sikkerhetsprobleminnvirkning
Berørte versjoner
Iodash
Vilkårlig kjøring av kode

AEM CS  

AEM 6.5.9.0 og tidligere

Apache Sling Banekrysning

AEM CS  

AEM 6.5.9.0 og tidligere

Jetty
Tjenestenekt (DoS, Denial of Service)

AEM CS  

AEM 6.5.9.0 og tidligere

Jackson-Databind
Ukontrollert tildeling av byte-buffer

AEM CS   

AEM 6.5.9.0 og tidligere

Takk

Adobe takker Lorenzo Pirondini (Netcentric, en Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) og Eckbert Andresen (CVE-2021-42725) for at han rapporterte disse problemene, og for at han samarbeider med Adobe Systems for å hjelpe oss med å beskytte kundene våre.

Revisjoner

27. september 2021: Oppdatert bekreftelsesdetaljer for CVE-2021-40711, CVE-2021-40712

4. oktober 2021: Oppdatert CVSS-grunnpoengsum, vector og alvorlighet for CVE-2021-40711.

28. oktober 2021: Tilføyd detaljer for CVE-2021-42725.


For mer informasjon kan du besøke https://helpx.adobe.com/security.html eller sende e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet