Bulletin-ID
Sist oppdatert
5. nov. 2021
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB21-82
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
APSB21-82 |
tirsdag 14. september 2021 |
2 |
Sammendrag
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.9.0 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 2 | Utgivelsesmerknader |
6.5.10.0 |
Alle |
2 |
Produktmerknad for AEM 6.5 Service Pack |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
6.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N |
CVE-2021-40711 |
|
Feil inndatavalidering (CWE-20) |
Program, tjenestenekt |
Viktig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
CVE-2021-40712 |
|
Feil sertifikatvalidering (CWE-295) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2021-40713 |
|
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2021-40714 |
|
Feil tilgangskontroll (CWE-284) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
|
Oppdateringer av avhengigheter
| Avhengighet |
Sikkerhetsprobleminnvirkning |
Berørte versjoner |
| Iodash |
Vilkårlig kjøring av kode |
AEM CS AEM 6.5.9.0 og tidligere |
| Apache Sling | Banekrysning | AEM CS AEM 6.5.9.0 og tidligere |
| Jetty |
Tjenestenekt (DoS, Denial of Service) |
AEM CS AEM 6.5.9.0 og tidligere |
| Jackson-Databind |
Ukontrollert tildeling av byte-buffer |
AEM CS AEM 6.5.9.0 og tidligere |
Takk
Adobe takker Lorenzo Pirondini (Netcentric, en Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) og Eckbert Andresen (CVE-2021-42725) for at han rapporterte disse problemene, og for at han samarbeider med Adobe Systems for å hjelpe oss med å beskytte kundene våre.
Revisjoner
27. september 2021: Oppdatert bekreftelsesdetaljer for CVE-2021-40711, CVE-2021-40712
4. oktober 2021: Oppdatert CVSS-grunnpoengsum, vector og alvorlighet for CVE-2021-40711.
28. oktober 2021: Tilføyd detaljer for CVE-2021-42725.
For mer informasjon kan du besøke https://helpx.adobe.com/security.html eller sende e-post til PSIRT@adobe.com.
