Actualizări de securitate disponibile pentru Adobe Experience Manager

Data lansării: 13 decembrie 2016

Ultima actualizare: 14 decembrie 2016

Identificator vulnerabilitate: APSB16-42

Prioritate: 2

Număr CVE: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Platformă: Toate

Sumar

Adobe a lansat actualizări de securitate pentru Adobe Experience Manager. Aceste actualizări rezolvă trei probleme importante de validare a intrării care pot fi utilizate în atacuri de scriptare între site-uri (CVE-2016-7882, CVE-2016-7883 și CVE-2016-7884) și includ o actualizare pentru a proteja utilizatorii de o vulnerabilitate importantă de falsificare a solicitărilor între site-uri (CVE-2016-7885).

Versiuni afectate

Produs Versiuni afectate Platformă
  6.2 Toate
Adobe Experience Manager 6.1 Toate
  6.0 Toate

Soluție

Adobe le recomandă clienților cu implementări locale să instaleze actualizările la care se face referire mai jos. În plus, clienții ar trebui să revizuiască și să implementeze pașii subliniați în Listele de verificare de securitate pentru versiunile 6.26.1 sau 6.0.

Produs Versiuni Evaluare a priorității Disponibilitate
  6.2
2 Notă de lansare
Adobe Experience Manager 6.1 2 Notă de lansare
  6.0 2 Notă de lansare

Luați legătura cu serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM mai vechi.

Detalii privind vulnerabilitatea

Descriere CVE Versiuni afectate Descărcați pachetul

Actualizările rezolvă o problemă importantă de validare a intrării in filtrul WCMDebug, care ar putea fi utilizată în atacuri de scriptare între site-uri.

CVE-2016-7882
6.2 și versiunile anterioare Remedierea rapidă 12444 pentru 6.2
Remedierea rapidă 12444 pentru 6.1 SP2 [0]
Remedierea rapidă 12444 pentru 6.0 SP3

Actualizările rezolvă o problemă importantă de validare a intrării la crearea expertului de lansare, care ar putea fi utilizată în atacuri de scriptare între site-uri.

CVE-2016-7883
6.2 Remediere rapidă 13062 pentru 6.2

Actualizările rezolvă o problemă importantă de validare a intrării în activele de creare DAM, care ar putea fi utilizată în atacuri de scriptare între site-uri.

CVE-2016-7884
6.1 și versiunile anterioare Pachet de remediere cumulativă pentru 6.1 SP2
Remediere rapidă 13297 pentru 6.0 SP3

Actualizări în componenta Jackrabbit pentru a proteja utilizatorii de falsificarea solicitărilor între site-uri.

CVE-2016-7885 6.2 și versiunile anterioare Remedierea rapidă 13547 pentru 6.2
Remedierea rapidă 12817 pentru 6.1
Remedierea rapidă 12846 pentru 6.0

[0] Notă: Remedierea rapidă 12444 pentru 6.1 SP2 este inclusă în AEM 6.1 SP2 CFP2.

Mențiuni

Adobe dorește să mulțumească lui Daniel Hamid pentru raportarea vulnerabilității CVE-2016-7882 și pentru colaborarea cu Adobe în scopul protejării clienților noștri.  CVE-2016-7883, CVE-2016-7884 și CVE-2016-7885 au fost raportate anonim.

Revizuiri

14 decembrie 2016: s-au modificat platformele afectate în Toate (anterior, erau precizate platformele Windows, Unix, Linux și OS X). În plus, s-a inclus o notă pentru a clarifica faptul că Remedierea rapidă 12444 a fost inclusă anterior cu AEM 6.1 SP2 CFP2.