Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager

Data wydania: 9 lutego 2016 r.

Ostatnia aktualizacja: 12 lutego 2016 r.

Identyfikator luki: APSB16-05

Priorytet: 2

Numer CVE: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Platforma: Windows, Unix, Linux i OS X

Podsumowanie

Firma Adobe opublikowała poprawki zabezpieczeń dla programu Adobe Experience Manager. Te poprawki usuwają istotne luki mogące prowadzić do ujawnienia informacji. 

Zagrożone wersje

Produkt Zagrożone wersje Platforma
  6.1.0 Windows, Unix, Linux i OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux i OS X
  5.6.1 Windows, Unix, Linux i OS X

Rozwiązanie

Firma Adobe zaleca klientom mającym wdrożenia lokalne zainstalowanie dostępnych poprawek wskazanych poniżej. Ponadto klienci powinni poznać i zastosować środki opisane na listach kontrolnych zabezpieczeń dla wersji 6.1, 6.0 lub 5.6.1.

Produkt Wersje Ocena priorytetu Dostępność
  6.1.0
2 Poprawki (6.1.0)
Adobe Experience Manager 6.0.0 2 Poprawki (6.0)
  5.6.1 2 Poprawki (5.6.1)

Więcej informacji o dostępnych poprawkach można znaleźć na Stronie pomocy programu Adobe Experience Manager. 

Informacje o luce w zabezpieczeniach

Opis CVE Pobierz pakiet
  • Poprawka 8364 zawiera agenta zmniejszającego zagrożenie powodowane przez problemy z deserializacją w języku Java
CVE-2016-0958

Poprawka dla wersji 6.1
Poprawka dla wersji 6.0
Poprawka dla wersji 5.6.1

  • Poprawka 8651 usuwa lukę występującą wyłącznie w wersji 6.1.0, która umożliwia ataki XSS (Cross-Site Scripting) i mogłaby prowadzić do ujawnienia informacji.
CVE-2016-0955

Poprawka dla wersji 6.1

  • Poprawka 6445 usuwa lukę mogącą prowadzić do ujawnienia informacji, która dotyczy oprogramowania Apache Sling Servlets Post 2.3.6 i jego wcześniejszych wersji.
CVE-2016-0956

Poprawka dla wersji 6.1
Poprawka dla wersji 6.0
Poprawka dla wersji 5.6.1

  • W wersji 4.1.5 i nowszych narzędzia Dispatcher usunięto lukę umożliwiającą ominięcie filtru adresów URL, która mogłaby służyć do obejścia reguł narzędzia Dispatcher.
CVE-2016-0957 Dispatcher

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe na rzecz bezpieczeństwa naszych klientów:

  • Damian Pfammatter z firmy Compass Security Schweiz AG (CVE-2016-0955)
  • Ateeq ur Rehman Khan — Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

Wersje

12 lutego 2016 r.:

  • Dodano wzmiankę „i jego wcześniejszych wersji”, aby doprecyzować, że luka CVE-2016-0956 dotyczy oprogramowania Apache Sling Servlets Post w wersji 2.3.6 i wcześniejszych.  
  • Opis luki CVE-2016-0955 został uzupełniony o informację, że problem występuje tylko w wersji 6.1.0. Luka CVE-2016-0955 nie dotyczy wersji programu AEM wcześniejszych niż 6.1.0.  
  • Format sekcji „Informacje o luce w zabezpieczeniach” został zmieniony na tabelaryczny. Dodano również adresy URL umożliwiające pobranie pakietu każdej poprawki.