ID biuletynu
Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB17-41
|
Data publikacji |
Priorytet |
---|---|---|
APSB17-41 |
14 listopada 2017 |
3 |
Podsumowanie
Firma Adobe opublikowała aktualizacje zabezpieczeń dla programu Adobe Experience Manager. Te aktualizacje usuwają lukę umożliwiającą ataki typu reflected XSS ocenioną jako średnia w komponencie HtmlRendererServlet (CVE-2017-3109), lukę umożliwiającą ujawnienie informacji (CVE-2017-3111) ocenioną jako istotna, która w pewnych sytuacjach powoduje umieszczenie poufnego tokenu w żądaniu http GET, oraz lukę umożliwiającą ataki typu skrypty międzywitrynowe (CVE-2017-11296) w komponencie Apache Sling Servlets Post 2.3.20 ocenioną jako istotna.
Wersje produktu, których dotyczy problem
Produkt |
Wersja |
Platforma |
---|---|---|
Adobe Experience Manager |
6,3 6.2 6.1 6.0 |
Wszystkie |
Komponent HtmlRendererServlet powinien być wyłączony w systemach produkcyjnych. Szczegółowe informacje można znaleźć w artykule Running AEM in Production Ready Mode (Uruchamianie programu AEM w trybie produkcyjnym).
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt | Wersja | Platforma | Priorytet | Dostępność |
---|---|---|---|---|
Adobe Experience Manager |
6.3 |
Wszystkie | 3 | Informacje o wersji |
6.2 | Wszystkie | 3 | Informacje o wersji |
|
6.1 | Wszystkie | 3 | Informacje o wersji |
|
6.0 | Wszystkie | 3 | Informacje o wersji |
Pomoc dotyczącą wcześniejszych wersji programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.
Informacje o luce w zabezpieczeniach
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ostrość |
Numery : CVE |
Zagrożona wersja |
Pobierz pakiet |
---|---|---|---|---|---|
Reflected XSS |
Ujawnienie informacji |
Średnia |
CVE-2017-3109 |
AEM 6.3 i wcześniejsze |
|
Poufny token w żądaniu HTTP GET |
Ujawnienie informacji |
Istotna |
CVE-2017-3111 |
AEM 6.1, AEM 6.2 |
|
Skrypty międzywitrynowe |
Ujawnienie informacji |
Istotna |
CVE-2017-11296 |
AEM 6.3 i wcześniejsze |
Wymienione w powyższej tabeli pakiety to minimalne wersje usuwające podaną lukę. Aby uzyskać informacje o najnowszych wersjach, użyj podanych powyżej łączy do uwag na temat wersji.
Podziękowania
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:
- Nagamarimuthu z Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)