ID biuletynu
Ostatnia aktualizacja
10 wrz 2021
Dostępne aktualizacje zabezpieczeń programu Adobe Experience Manager | APSB21-15
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB21-15 |
11 maja 2021 r. |
2 |
Podsumowanie
Wersje produktu, których dotyczy problem
| Produkt | Wersja | Platforma |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Wszystkie |
| 6.5.7.0 i starsze wersje |
Wszystkie |
|
| 6.4.8.3 i wcześniejsze wersje |
Wszystkie |
|
| 6.3.3.8 i wcześniejsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Wszystkie | 2 | Uwagi na temat wersji |
6.5.8.0 |
Wszystkie |
2 |
AEM 6.5 Service Pack — informacje o wersji | |
6.4.8.4 |
Wszystkie |
2 |
Uwaga:
Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.
Uwaga:
AEM Cumulative Fix Pack 6.4.8.4 jest ważną aktualizacją obejmującą kilka rozwiązań wewnętrznych i klientów, od czasu powszechnej dostępności dodatku Service Pack 8 AEM 6.4 (6.4.8.0) w marcu 2020.
Uwaga:
Pomoc dotyczącą wersji 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ostrość |
Numer CVE |
Zagrożone wersje |
|---|---|---|---|---|
|
Niewłaściwa kontrola dostępu |
Odmowa usługi aplikacji |
Ważna |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
|
Skrypty międzywitrynowe (zapisane) |
Arbitralne wykonanie JavaScript w przeglądarce |
Krytyczna |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
Aktualizacje zależności
| Zależność |
Wpływ luki w zabezpieczeniach |
Zagrożone wersje |
| Commons-io |
Niewłaściwa kontrola dostępu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| MetadataExtractor |
Niekontrolowane użycie zasobów |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| FasterXML Jackson Databind/Core |
Zdalne wykonywanie kodu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Eclipse Jetty |
Niewłaściwa kontrola dostępu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Lucene Queryparser |
Zdalne wykonywanie kodu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache XML-RPC |
Wykonanie dowolnego kodu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Zip4j |
Wykonanie dowolnego kodu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Directory LDAP API |
Niewłaściwa kontrola dostępu | AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Sling |
Niewłaściwa kontrola dostępu | AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Felix |
Wykonanie dowolnego kodu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Solr |
Niewłaściwy dostęp do odczytu/zapisu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| Apache Tomcat |
Niewłaściwa kontrola dostępu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
| jQuery |
Wykonanie dowolnego kodu |
AEM CS AEM 6.5.7.0 i starsze wersje AEM 6.4.8.3 i starsze wersje AEM 6.3.3.8 i starsze wersje |
Podziękowania
Firma Adobe składa podziękowania Thomasowi Hartmannowi z firmy netcentric (CVE-2021-21083) za zgłoszenie obu problemów i współpracę z firmą Adobe w celu ochrony naszych klientów.
