ID buletin
Ultima actualizare la
21 mai 2021
Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB20-72
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB20-72 |
8 decembrie 2020 |
2 |
Sumar
Adobe a lansat actualizări pentru Adobe Experience Manager (AEM) și pachetul suplimentar AEM Forms. Aceste actualizări remediază vulnerabilități evaluate drept critice și importante.
Versiunile de produs afectate
| Produs | Versiunea | Platformă |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toate |
| 6.5.6.0 și versiunile anterioare |
Toate |
|
| 6.4.8.2 și versiunile anterioare |
Toate |
|
| 6.3.3.8 și versiunile anterioare |
Toate |
|
| 6.2 SP1-CFP20 şi versiunile anterioare |
Toate |
|
| Supliment AEM Forms |
Pachet de programe de completare AEM Forms Service Pack 6 pentru AEM 6.5.6.0 |
Toate |
| Pachet de programe de completare AEM Forms pentru AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:
Produs |
Versiunea |
Platformă |
Prioritatea |
Disponibilitate |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toate | 2 | Note de lansare |
6.5.7.0 |
Toate |
2 |
Note privind lansarea pachetului AEM 6.5 Service Pack |
|
6.4.8.3 |
Toate |
2 |
Note privind lansarea pachetului de remedieri cumulative AEM 6.4 |
|
Supliment AEM Forms |
Pachet AEM Forms Service Pack 7 |
Toate |
2 |
Ediții AEM Forms |
| AEM 6.4 Service Pack 8 CFP 3 |
Toate | 2 | Ediții AEM Forms |
Notă:
Clienții care rulează în serviciul cloud din Adobe Experience Manager vor primi automat actualizările care includ caracteristici noi, precum și remedieri ale erorilor de funcționalitate și de securitate.
Notă:
Adobe Experience Manager 6.5.7.0 este o actualizare importantă care include caracteristici noi, îmbunătățiri importante solicitate de clienți și îmbunătățiri de performanță, stabilitate și securitate, lansate după data de disponibilitate generală a versiunii 6.5, în aprilie 2019. Poate fi instalat peste Adobe Experience Manager 6.5.
Notă:
Pachetul de remedieri cumulative AEM 6.4.8.3 este o actualizare importantă care include mai multe remedieri interne și de la clienți, lansate după data de disponibilitate generală a pachetului AEM 6.4 Service Pack 8 (6.4.8.0), în martie 2020. Pachetul de remedieri cumulative AEM 6.4.8.3 depinde de pachetul AEM 6.4 Service Pack 8. Prin urmare, trebuie să instalați pachetul de remedieri cumulative AEM 6.4.8.3 după ce instalați AEM 6.4 Service Pack 8.
Notă:
Contactați serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM 6.3 și 6.2.
Detalii privind vulnerabilitatea
|
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Număr CVE |
Versiuni afectate |
|---|---|---|---|---|
|
Falsificare în orb a solicitărilor de partea serverului |
Divulgare de informații sensibile |
Importantă |
CVE-2020-24444 |
Program de completare AEM Forms SP6 pentru AEM 6.5.6.0 și versiunile anterioare Pachet de programe de completare AEM Forms pentru AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) și versiunile anterioare |
|
Scriptare între site-uri (stocată) |
Executare arbitrară de cod JavaScript în browser |
Critică |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 și versiunile anterioare |
Actualizări ale dependențelor
| Dependență |
Impactul vulnerabilității |
Versiuni afectate |
| Apache Abdera |
Consum de resurse |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Batik |
Falsificarea solicitărilor de partea serverului |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Commons Compress |
Consum de resurse |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache OpenNLP |
Injectare entități externe XML (XXE) |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Sling Scheduler Service |
Injectare entități externe XML (XXE) |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Xerces2 |
Consum de resurse |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| CKEditor |
Executare arbitrară de cod JavaScript în browser |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Eclipse Jetty |
Consum de resurse |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Google-oauth-client |
Autorizare inadecvată |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Handlebars.js |
Poluarea prototipurilor |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Jackson Mapper |
Injectare entități externe XML (XXE) |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| jQuery |
Executare arbitrară de cod JavaScript în browser |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Spring Framework |
Traversare de director |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Zip4j |
Traversare de director |
AEM CS AEM 6.5.6.0 și versiunile anterioare AEM 6.4.8.2 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
Mențiuni
Adobe dorește să le mulțumească lui Frank Karlstrøm și Kenny Jansson de la Storebrand Group, Norvegia (CVE-2020-24444) pentru că au colaborat cu Adobe, contribuind la protejarea clienților noștri.
Revizii
13 ianuarie 2021: S-au eliminat AEM 6.4.8.2 și 6.3.3.8 din lista de versiuni afectate de CVE-2020-24445.
