Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB21-82

ID biuletynu

Data publikacji

Priorytet

APSB21-82

14 września 2021 r. 

2

Podsumowanie

Firma Adobe opublikowała aktualizacje dla programu Adobe Experience Manager (AEM). Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako krytyczne oraz istotne.  Wykorzystanie tych luk mogło skutkować wykonywaniem dowolnego kodu. 

Wersje produktu, których dotyczy problem

Produkt Wersja Platforma

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Wszystkie
6.5.9.0 i wcześniejsze wersje 
Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt

Wersja

Platforma

Priorytet

Dostępność

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Wszystkie 2 Uwagi na temat wersji

6.5.10.0 

Wszystkie

2

AEM 6.5 Service Pack — informacje o wersji  
Uwaga:

Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.

Uwaga:

Pomoc dotyczącą wersji 6.4, 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Istotność

Podstawowy wynik CVSS 

Numer CVE 

Skrypty międzywitrynowe (XSS)

(CWE-79)

Wykonanie dowolnego kodu

Ważna

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

Nieprawidłowa walidacja danych wejściowych (CWE-20)

Odmowa usługi aplikacji

Poważna

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

Nieprawidłowa walidacja certyfikatu (CWE-295)

Obejście funkcji bezpieczeństwa

Poważna

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

Skrypty międzywitrynowe (XSS)

(CWE-79)

Wykonanie dowolnego kodu

Poważna

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

Niewłaściwa kontrola dostępu (CWE-284)

Obejście funkcji bezpieczeństwa

Poważna

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

Aktualizacje zależności

Zależność
Wpływ luki w zabezpieczeniach
Zagrożone wersje
Iodash
Wykonanie dowolnego kodu

AEM CS  

AEM 6.5.9.0 i wcześniejsze wersje 

Apache Sling Przeglądanie ścieżek

AEM CS  

AEM 6.5.9.0 i wcześniejsze wersje 

Jetty
Odmowa usługi

AEM CS  

AEM 6.5.9.0 i wcześniejsze wersje 

Jackson-Databind
Niesprawdzona alokacja buforu bajtów

AEM CS   

AEM 6.5.9.0 i wcześniejsze wersje  

Podziękowania

Firma Adobe składa podziękowania użytkownikowi Lorenzo Pirondini (Netcentric, Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) i Eckbert Andresen (CVE-2021-42725) za zgłoszenie tych problemy i współpracę z firmą Adobe w celu ochrony naszych klientów.

Wersje

27 września 2021 r.: Zaktualizowano szczegóły podziękowań dotyczących luk CVE-2021-40711 i CVE-2021-40712.

4 października 2021 r.: Zaktualizowano podstawowy wynik i wektor CVSS oraz ważność luki CVE-2021-40711.

28 października 2021 r.: Dodano szczegółowe informacje na temat luki CVE-2021-42725.


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Logo Adobe

Zaloguj się na swoje konto

[Feedback V2 Badge]