Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager

Data de lançamento: 13 de dezembro de 2016

Última atualização: 14 de dezembro de 2016

Identificador de vulnerabilidade: APSB16-42

Prioridade: 2

Número CVE: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Plataforma: todas

Resumo

A Adobe lançou atualizações de segurança para o Adobe Experience Manager. Essas atualizações resolvem três problemas importantes de validação de entrada que poderiam ser usados em ataques de script entre sites (CVE-2016-7882, CVE-2016-7883 e CVE-2016-7884), além de incluírem uma atualização para proteger os usuários contra uma vulnerabilidade importante de falsificação de solicitações entre sites (CVE-2016-7885).

Versões afetadas

Produto Versões afetadas Plataforma
  6.2 Todos
Adobe Experience Manager 6.1 Todos
  6.0 Todos

Solução

A Adobe recomenda que os clientes com implantações locais instalem as atualizações disponíveis abaixo. Além disso, os clientes devem revisar e implementar as etapas destacadas nas Listas de verificação de segurança para as versões 6.26.1 ou 6.0.

Produto Versões Classificação de prioridade Disponibilidade
  6.2
2 Nota de versão
Adobe Experience Manager 6.1 2 Nota de versão
  6.0 2 Nota de versão

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões mais antigas AEM.

Detalhes da vulnerabilidade

Descrição CVE Versões afetadas Pacote de download

As atualizações resolvem um problema importante de validação de entrada no filtro WCMDebug que poderia ser usado em ataques de script entre sites.

CVE-2016-7882
6.2 e versões anteriores Hotfix 12444 para 6.2
Hotfix 12444 para 6.1 SP2 [0]
Hotfix 12444 para 6.0 SP3

As atualizações resolvem um problema importante de validação de entrada no Assistente de inicialização de criação que poderia ser usado em ataques de script entre sites.

CVE-2016-7883
6.2 Hotfix 13062 para 6.2

As atualizações resolvem um problema importante de validação de entrada nos ativos de criação DAM que poderia ser usado em ataques de script entre sites.

CVE-2016-7884
6.1 e versões anteriores Pacote de correção cumulativa para 6.1 SP2
Hotfix 13297 para 6.0 SP3

Atualizações no componente Jackrabbit para proteger os usuários contra a falsificação de solicitações entre sites.

CVE-2016-7885 6.2 e versões anteriores Hotfix 13547 para 6.2
Hotfix 12817 para 6.1
Hotfix 12846 para 6.0

[0] Nota: o Hotfix 12444 para 6.1 SP2 está incluído no AEM 6.1 SP2 CFP2.

Agradecimentos

A Adobe gostaria de agradecer a Daniel Hamid por reportar o CVE-2016-7882 e por trabalhar com a Adobe para proteger nossos clientes.  CVE-2016-7883, CVE-2016-7884 e CVE-2016-7885 foram relatados anonimamente.

Revisões

14 de dezembro de 2016: modificadas as plataformas afetadas para Todas (anteriormente, eram indicadas as plataformas Windows, Unix, Linux e OS X). Também incluída uma nota para esclarecer que o Hotfix 12444 estava incluído anteriormente com o AEM 6.1 SP2 CFP2.