Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager Forms

Data wydania: 13 grudnia 2016 r.

Identyfikator luki: APSB16-40

Priorytet: 3

Numer CVE: CVE-2016-6933, CVE-2016-6934

Platformy: Windows, Linux, Solaris i AIX

Podsumowanie

Firma Adobe opublikowała aktualizacje zabezpieczeń dla programu Adobe Experience Manager (AEM) Forms dla systemów Windows, Linux, Solaris i AIX. Aktualizacje usuwają dwa poważne błędy sprawdzania poprawności danych wejściowych, które mogłyby zostać wykorzystane w atakach typu XSS (CVE-2016-6933 i CVE-2016-6934).Firma Adobe zaleca użytkownikom zainstalowanie dostępnej aktualizacji zgodnie z poniższymi instrukcjami w sekcji „Rozwiązanie”.

Uwaga: w 2015 r. program AEM Forms zastąpił program Adobe LiveCycle.

Zagrożone wersje

Produkt Zagrożona wersja Platforma
Adobe Experience Manager Forms

6.2
6.1
6.0

Windows, Linux, Solaris i AIX
LiveCycle

11.0.1
10.0.4

Windows, Linux, Solaris i AIX

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom wdrażającym oprogramowanie instalację dostępnych aktualizacji podanych poniżej przy pomocy zespołu obsługi klienta Adobe Marketing Cloud.

Produkt Poprawiona wersja Platforma Ocena priorytetu
Adobe Experience Manager Forms 6.2 AEMForms-6.2.0-0002 Windows, Linux, Solaris i AIX
3
Adobe Experience Manager Forms 6.1 6.1.0-COR-1064-012
6.1.0-PRM-1065-020
Windows, Linux, Solaris i AIX 3
Adobe Experience Manager Forms 6.0 6.0.0-COR-1042-015
6.0.0-PRM-1043-020
Windows, Linux, Solaris i AIX 3
LiveCycle 11.0.1 11.0.1-COR-1155-044
11.0.1-PRM-1161-017
Windows, Linux, Solaris i AIX
3
LiveCycle 10.0.4 10.0.4-COR-1064-025
10.0.4-PRM-1065-007
Windows, Linux, Solaris i AIX
3

Informacje o luce w zabezpieczeniach

Opis CVE Poprawiona wersja
Aktualizacje usuwają błąd sprawdzania poprawności danych wejściowych, który mógłby zostać wykorzystany w atakach typu XSS.
CVE-2016-6933  AEMForms-6.2.0-0002
6.1.0-COR-1064-012
6.0.0-COR-1042-015
11.0.1-COR-1155-044
10.0.4-COR-1064-025

Aktualizacje usuwają błąd sprawdzania poprawności danych wejściowych w module PMAdmin, który mógłby zostać wykorzystany w atakach typu XSS.
CVE-2016-6934 AEMForms-6.2.0-0002
6.1.0-PRM-1065-020
6.0.0-PRM-1043-020
11.0.1-PRM-1161-017
10.0.4-PRM-1065-007

Podziękowania

Firma Adobe składa podziękowania Adamowi Willardowi z firmy Blue Canopy za zgłoszenie tych problemów (CVE-2016-6933 i CVE-2016-6934) oraz współpracę z firmą Adobe w celu ochrony naszych klientów.