Biuletyn dotyczący zabezpieczeń firmy Adobe

Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager

Data wydania: 13 grudnia 2016 r.

Ostatnia aktualizacja: 14 grudnia 2016 r.

Identyfikator luki: APSB16-42

Priorytet: 2

Numer CVE: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Platforma: Wszystkie

Podsumowanie

Firma Adobe opublikowała aktualizacje zabezpieczeń dla programu Adobe Experience Manager. Te aktualizacje usuwają trzy poważne błędy sprawdzania poprawności danych wejściowych, które mogłyby być wykorzystane w atakach typu XSS (CVE-2016-7882, CVE-2016-7883 i CVE-2016-7884), oraz chronią użytkowników przed poważną luką w zabezpieczeniach, która umożliwia ataki przy użyciu sfałszowanych żądań międzywitrynowych (CVE-2016-7885).

Zagrożone wersje

Produkt Zagrożone wersje Platforma
  6.2 Wszystkie
Adobe Experience Manager 6.1 Wszystkie
  6.0 Wszystkie

Rozwiązanie

Firma Adobe zaleca klientom mającym wdrożenia lokalne zainstalowanie dostępnych aktualizacji wskazanych poniżej. Ponadto klienci powinni poznać i zastosować środki opisane na listach kontrolnych zabezpieczeń dla wersji 6.2, 6.1 lub 6.0.

Produkt Wersje Ocena priorytetu Dostępność
  6.2
 2 Informacje o wersji
Adobe Experience Manager 6.1 2 Informacje o wersji
  6.0 2 Informacje o wersji

Pomoc dotyczącą wcześniejszych wersji programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Opis CVE Zagrożone wersje Pobierz pakiet

Aktualizacje usuwają poważny błąd sprawdzania poprawności danych wejściowych w filtrze WCMDebug, który mógłby zostać wykorzystany w atakach typu XSS.

 CVE-2016-7882
 6.2 i starsze wersje Poprawka 12444 dla wersji 6.2
Poprawka 12444 dla wersji 6.1 SP2 [0]
Poprawka 12444 dla wersji 6.0 SP3

Aktualizacje usuwają poważny błąd sprawdzania poprawności danych wejściowych, który mógłby zostać wykorzystany w atakach typu XSS.

 CVE-2016-7883
 6.2 Poprawka 13062 dla wersji 6.2

Poprawki usuwają poważny błąd sprawdzania poprawności danych wejściowych podczas tworzenia zasobów DAM, który mógłby zostać wykorzystany w atakach typu XSS.

 CVE-2016-7884
 6.1 i starsze wersje Zbiorczy pakiet poprawek dla wersji 6.1 SP2
Poprawka 13297 dla wersji 6.0 SP3

Aktualizacje w komponencie Jackrabbit chroniące użytkowników przed fałszerstwami żądań międzywitrynowych.

 CVE-2016-7885 6.2 i starsze wersje Poprawka 13547 dla wersji 6.2
Poprawka 12817 dla wersji 6.1
Poprawka 12846 dla wersji 6.0

[0] Uwaga: Poprawka 12444 dla wersji 6.1 SP2 została włączona do wersji AEM 6.1 SP2 CFP2.

Podziękowania

Firma Adobe pragnie podziękować Danielowi Hamidowi za zgłoszenie luki CVE-2016-7882 oraz współpracę z firmą Adobe w celu ochrony naszych klientów. Błędy CVE-2016-7883, CVE-2016-7884 i CVE-2016-7885 zostały zgłoszone anonimowo.

Wersje

14 grudnia 2016 r.: Platformy, których dotyczy poprawka, określono jako Wszystkie (poprzednio były to: Windows, Unix, Linux i OS X). Dodano również uwagę objaśniającą, że poprawka 12444 została wcześniej uwzględniona w wersji AEM 6.1 SP2 CFP2.