ID biuletynu
Dostępne aktualizacje zabezpieczeń programu Adobe Experience Manager | APSB19-48
|
Data publikacji |
Priorytet |
---|---|---|
APSB19-48 |
15 października 2019 |
2 |
Podsumowanie
Firma Adobe opublikowała aktualizacje zabezpieczeń programu Adobe Experience Manager (AEM). Te aktualizacje usuwają wiele luk w zabezpieczeniach AEM w wersjach 6.3, 6.4 i 6.5. Pomyślne wykorzystanie luk może spowodować nieautoryzowany dostęp do środowiska AEM.
Wersje produktu, których dotyczy problem
Produkt |
Wersja |
Platforma |
---|---|---|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Wszystkie |
2 |
|
6.4 |
Wszystkie |
2 |
||
6.3 |
Wszystkie |
2 |
Pomoc dotyczącą wcześniejszych wersji programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.
Informacje o luce w zabezpieczeniach
Wykonanie kodu JavaScript (CVE-2019-8088) ma wpływ tylko na wersję 6.2. Począwszy od wersji 6.3 do wykonywania kodu JavaScript używany jest silnik Rhino działający w całości w piaskownicy, co zmniejsza wpływ luki CVE-2019-8088 na maskowanie ataków typu fałszowanie żądań po stronie serwera (Server-Side Request Forgery, SSRF) i odmowa usługi (DoS).
Uwaga: wymienione w powyższej tabeli pakiety to minimalne wersje usuwające podaną lukę. Aby uzyskać informacje o najnowszych wersjach, użyj podanych powyżej łączy do uwag na temat wersji.
Podziękowania
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay z firmy T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Wersje
15 października 2019 r.: Zaktualizowano identyfikatory CVE od CVE-2019-8077 do CVE-2019-8234.
11 marca 2020 r.: Dodano notatkę wyjaśniającą, że wykonanie kodu JavaScript (CVE-2019-8088) ma wpływ tylko na wersję AEM 6.2.