Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń programu Adobe Experience Manager | APSB19-48

ID biuletynu

Data publikacji

Priorytet

APSB19-48

15 października 2019

2

Podsumowanie

Firma Adobe opublikowała aktualizacje zabezpieczeń programu Adobe Experience Manager (AEM). Te aktualizacje usuwają wiele luk w zabezpieczeniach AEM w wersjach 6.3, 6.4 i 6.5.  Pomyślne wykorzystanie luk może spowodować nieautoryzowany dostęp do środowiska AEM.  

Wersje produktu, których dotyczy problem

Produkt

Wersja

Platforma

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt

Wersja

Platforma

Priorytet

Dostępność

 

Adobe Experience Manager

6.5

Wszystkie

2

Wersje i aktualizacje

6.4

Wszystkie

2

Wersje i aktualizacje

6.3

Wszystkie

2

Wersje i aktualizacje

Pomoc dotyczącą wcześniejszych wersji programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Istotność

Numer CVE 

Zagrożone wersje Pobierz pakiet
Fałszowanie żądania krzyżowego Ujawnienie poufnych informacji Istotna

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Reflected XSS

Ujawnienie poufnych informacji

 

Średnia CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Stored XSS Ujawnienie poufnych informacji Istotna CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.4.0

Stored XSS Podniesienie uprawnień Istotna 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Ominięcie uwierzytelniania

 

 

Ujawnienie poufnych informacji Istotna CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Dodatek Service Pack do oprogramowania w wersji 6.5 — AEM 6.5.2.0 

XXE

Ujawnienie poufnych informacji

 

Istotna CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Skrypty międzywitrynowe

Ujawnienie poufnych informacji

 

Średnia

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Dodatek Service Pack do oprogramowania w wersji 6.5 — AEM 6.5.2.0 

Reflected XSS

Ujawnienie poufnych informacji

 

 

Średnia

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.5.0

Dodatek Service Pack do oprogramowania w wersji 6.5 — AEM 6.5.2.0 

Reflected XSS

 

 

Ujawnienie poufnych informacji

 

 

Średnia

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.5.0

Dodatek Service Pack do oprogramowania w wersji 6.5 — AEM 6.5.2.0 

XXE

 

 

Ujawnienie poufnych informacji

 

 

Istotna

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Dodatek Service Pack do oprogramowania w wersji 6.5 — AEM 6.5.2.0 

XXE

 

 

Ujawnienie poufnych informacji

 

Istotna

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Dodatek Service Pack do oprogramowania w wersji 6.5 — AEM 6.5.2.0 

Wstrzyknięcie kodu JavaScript

 

 

Wykonanie dowolnego kodu

 

 

Krytyczna

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

Zbiorczy pakiet poprawek do oprogramowania w wersji 6.3 SP3 — AEM-6.3.3.6

Dodatek Service Pack do oprogramowania w wersji 6.4 — AEM 6.4.6.0

Dodatek Service Pack do oprogramowania w wersji 6.5 — AEM 6.5.2.0 

Uwaga:

Wykonanie kodu JavaScript (CVE-2019-8088) ma wpływ tylko na wersję 6.2.  Począwszy od wersji 6.3 do wykonywania kodu JavaScript używany jest silnik Rhino działający w całości w piaskownicy, co zmniejsza wpływ luki CVE-2019-8088 na maskowanie ataków typu fałszowanie żądań po stronie serwera (Server-Side Request Forgery, SSRF) i odmowa usługi (DoS).

Uwaga:

Uwaga: wymienione w powyższej tabeli pakiety to minimalne wersje usuwające podaną lukę.  Aby uzyskać informacje o najnowszych wersjach, użyj podanych powyżej łączy do uwag na temat wersji.

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Wersje

15 października 2019 r.: Zaktualizowano identyfikatory CVE od CVE-2019-8077 do CVE-2019-8234.

11 marca 2020 r.: Dodano notatkę wyjaśniającą, że wykonanie kodu JavaScript (CVE-2019-8088) ma wpływ tylko na wersję AEM 6.2.  

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online