Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB17-41

ID biuletynu

Data publikacji

Priorytet

APSB17-41

14 listopada 2017

3

Podsumowanie

Firma Adobe opublikowała aktualizacje zabezpieczeń dla programu Adobe Experience Manager. Te aktualizacje usuwają lukę umożliwiającą ataki typu reflected XSS ocenioną jako średnia w komponencie HtmlRendererServlet (CVE-2017-3109), lukę umożliwiającą ujawnienie informacji (CVE-2017-3111) ocenioną jako istotna, która w pewnych sytuacjach powoduje umieszczenie poufnego tokenu w żądaniu http GET, oraz lukę umożliwiającą ataki typu skrypty międzywitrynowe (CVE-2017-11296) w komponencie Apache Sling Servlets Post 2.3.20 ocenioną jako istotna

Wersje produktu, których dotyczy problem

Produkt

Wersja

Platforma

Adobe Experience Manager

6,3

6.2

6.1

6.0

Wszystkie

Uwaga:

Komponent HtmlRendererServlet powinien być wyłączony w systemach produkcyjnych.  Szczegółowe informacje można znaleźć w artykule Running AEM in Production Ready Mode (Uruchamianie programu AEM w trybie produkcyjnym). 

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Wersja Platforma Priorytet Dostępność
Adobe Experience Manager
6.3
Wszystkie 3 Informacje o wersji
6.2 Wszystkie 3 Informacje o wersji
6.1 Wszystkie 3 Informacje o wersji
6.0 Wszystkie 3 Informacje o wersji

Pomoc dotyczącą wcześniejszych wersji programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ostrość

Numery : CVE

Zagrożona wersja

Pobierz pakiet

Reflected XSS

Ujawnienie informacji

Średnia

CVE-2017-3109

AEM 6.3 i wcześniejsze

Poufny token w żądaniu HTTP GET

Ujawnienie informacji

Istotna

CVE-2017-3111

AEM 6.1, AEM 6.2

Skrypty międzywitrynowe

Ujawnienie informacji

Istotna

CVE-2017-11296

AEM 6.3 i wcześniejsze

Uwaga:

Wymienione w powyższej tabeli pakiety to minimalne wersje usuwające podaną lukę.  Aby uzyskać informacje o najnowszych wersjach, użyj podanych powyżej łączy do uwag na temat wersji.

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:  

  • Nagamarimuthu z Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?