Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB17-41
ID biuletynu Data publikacji Priorytet
APSB17-41 14 listopada 2017
3

Podsumowanie

Firma Adobe opublikowała aktualizacje zabezpieczeń dla programu Adobe Experience Manager. Te aktualizacje usuwają lukę umożliwiającą ataki typu reflected XSS ocenioną jako średnia w komponencie HtmlRendererServlet (CVE-2017-3109), lukę umożliwiającą ujawnienie informacji (CVE-2017-3111) ocenioną jako istotna, która w pewnych sytuacjach powoduje umieszczenie poufnego tokenu w żądaniu http GET, oraz lukę umożliwiającą ataki typu skrypty międzywitrynowe (CVE-2017-11296) w komponencie Apache Sling Servlets Post 2.3.20 ocenioną jako istotna

Wersje produktu, których dotyczy problem

Produkt Wersja Platforma
Adobe Experience Manager

6,3

6.2

6.1

6.0

Wszystkie

Uwaga:

Komponent HtmlRendererServlet powinien być wyłączony w systemach produkcyjnych.  Szczegółowe informacje można znaleźć w artykule Running AEM in Production Ready Mode (Uruchamianie programu AEM w trybie produkcyjnym). 

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Wersja Platforma Priorytet Dostępność
Adobe Experience Manager
6.3
Wszystkie 3 Informacje o wersji
6.2 Wszystkie 3 Informacje o wersji
6.1 Wszystkie 3 Informacje o wersji
6.0 Wszystkie 3 Informacje o wersji

Pomoc dotyczącą wcześniejszych wersji programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Numery : CVE Zagrożona wersja Pobierz pakiet
Reflected XSS Ujawnienie informacji
Średnia
CVE-2017-3109
AEM 6.3 i wcześniejsze

Poprawka 17136 dla wersji 6.0.0

Zbiorczy pakiet poprawek do wersji 6.1 SP2 — AEM-6.1-SP2-CFP9

Zbiorczy pakiet poprawek do wersji 6.2 SP1 — AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Poufny token w żądaniu HTTP GET Ujawnienie informacji Istotna CVE-2017-3111
AEM 6.1, AEM 6.2 Zbiorczy pakiet poprawek dla wersji 6.1 SP2 — AEM-6.1-SP2-CFP12 
 
Zbiorczy pakiet poprawek dla wersji 6.2 SP1 — AEM-6.2-SP1-CFP2
Skrypty międzywitrynowe
Ujawnienie informacji Istotna CVE-2017-11296 AEM 6.3 i wcześniejsze

Poprawka 18963 dla wersji 6.0.0

Zbiorczy pakiet poprawek do wersji 6.1 SP2 — AEM-6.1-SP2-CFP12

Zbiorczy pakiet poprawek do wersji 6.2 SP1 — AEM-6.2-SP1-CFP6

Zbiorczy pakiet poprawek dla wersji AEM-CFP-6.3.0.2

 

Uwaga:

Wymienione w powyższej tabeli pakiety to minimalne wersje usuwające podaną lukę.  Aby uzyskać informacje o najnowszych wersjach, użyj podanych powyżej łączy do uwag na temat wersji.

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:  

  • Nagamarimuthu z Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)