ID biuletynu
Ostatnia aktualizacja
20 maj 2021
Dostępne aktualizacje zabezpieczeń programu Adobe Experience Manager | APSB20-72
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB20-72 |
8 grudnia 2020 |
2 |
Podsumowanie
Wersje produktu, których dotyczy problem
| Produkt | Wersja | Platforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Wszystkie |
| 6.5.6.0 i wcześniejsze wersje |
Wszystkie |
|
| 6.4.8.2 i wcześniejsze wersje |
Wszystkie |
|
| 6.3.3.8 i starsze wersje |
Wszystkie |
|
| 6.2 SP1-CFP20 i starsze wersje |
Wszystkie |
|
| Dodatek do AEM Forms |
Pakiet dodatku Service Pack 6 dla programu AEM Forms do AEM 6.5.6.0 |
Wszystkie |
| Pakiet dodatku Service Pack 8 dla programu AEM Forms do AEM 6.4, zbiorczy pakiet poprawek 2 (6.4.8.2) |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Wszystkie | 2 | Uwagi na temat wersji |
6.5.7.0 |
Wszystkie |
2 |
AEM 6.5 Service Pack — informacje o wersji |
|
6.4.8.3 |
Wszystkie |
2 |
||
Dodatek do AEM Forms |
AEM Forms Service Pack 7 |
Wszystkie |
2 |
Wersje AEM Forms |
| Pakiet dodatku Service Pack 8 do AEM 6.4, CFP 3 |
Wszystkie | 2 | Wersje AEM Forms |
Uwaga:
Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.
Uwaga:
Adobe Experience Manager 6.5.7.0 jest ważną aktualizacją, która obejmuje nowe funkcje, kluczowe korzyści dla klientów, usprawnienia i wydajność, stabilność i ulepszenia zabezpieczeń wydane od czasu powszechnej dostępności wersji 6.5 w kwietniu 2019.Można ją zainstalować jako aktualizację programu Adobe Experience Manager 6.5.
Uwaga:
AEM Cumulative Fix Pack 6.4.8.3 jest ważną aktualizacją obejmującą kilka rozwiązań wewnętrznych i klientów, od czasu powszechnej dostępności dodatku Service Pack 8 AEM 6.4 (6.4.8.0) w marcu 2020. Dodatek AEM Cumulative Fix Pack 6.4.8.3 jest zależny od dodatku AEM 6.4 Service Pack 8. Dlatego też po zainstalowaniu dodatku Service Pack 8 do programu AEM 6.4 należy zainstalować zbiorczy pakiet poprawek AEM Cumulative Fix Pack 6.4.8.3.
Uwaga:
Pomoc dotyczącą wersji 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Istotność |
Numer CVE |
Zagrożone wersje |
|---|---|---|---|---|
|
Fałszowanie żądań po stronie serwera |
Ujawnienie poufnych informacji |
Poważna |
CVE-2020-24444 |
Pakiet dodatku SP 6 dla programu AEM Forms do AEM 6.5.6.0 i starsze wersje Pakiet dodatku Service Pack 8 dla programu AEM Forms do AEM 6.4, zbiorczy pakiet poprawek 2 (6.4.8.2) i starsze wersje |
|
Skrypty międzywitrynowe (zapisane) |
Arbitralne wykonanie JavaScript w przeglądarce |
Krytyczna |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 i starsze wersje |
Aktualizacje zależności
| Zależność |
Wpływ luki w zabezpieczeniach |
Zagrożone wersje |
| Apache Abdera |
Zużycie zasobów |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Batik |
Fałszowanie żądań po stronie serwera |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Commons Compress |
Zużycie zasobów |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache OpenNLP |
Wstrzyknięcie obiektu zewnętrznego typu XML (XXE) |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Usługa harmonogramu Apache Sling |
Wstrzyknięcie obiektu zewnętrznego typu XML (XXE) |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Xerces2 |
Zużycie zasobów |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| CKEditor |
Dowolne wykonanie kodu JavaScript w przeglądarce |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Eclipse Jetty |
Zużycie zasobów |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Klient OAuth Google |
Niewłaściwa autoryzacja |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Handlebars.js |
Zanieczyszczanie prototypów |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Jackson Mapper |
Wstrzyknięcie obiektu zewnętrznego typu XML (XXE) |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| jQuery |
Dowolne wykonanie kodu JavaScript w przeglądarce |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Spring Framework |
Atak directory traversal |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Zip4j |
Atak directory traversal |
AEM CS AEM 6.5.6.0 i starsze wersje AEM 6.4.8.2 i starsze wersje AEM 6.3.3.8 i starsze wersje |
Podziękowania
Firma Adobe składa podziękowania Frankowi Karlstrømowi and Kenny’emu Janssonowi z firmy Storebrand Group w Norwegii (CVE-2020-24444) za współpracę z firmą Adobe w celu ochrony naszych klientów.
Wersje
13 stycznia 2021: Usunięto AEM 6.4.8.2 i 6.3.3.8 z listy wersji, których dotyczy problem opisany w CVE-2020-24445.
