ID buletin
Ultima actualizare la
10 sept. 2021
Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB21-15
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB21-15 |
11 mai 2021 |
2 |
Sumar
Adobe a lansat actualizări pentru Adobe Experience Manager (AEM). Aceste actualizări remediază vulnerabilități evaluate drept critice și importante. Exploatarea reușită a acestora ar putea duce la executarea arbitrară de cod JavaScript în browser.
Versiunile de produs afectate
| Produs | Versiunea | Platformă |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toate |
| 6.5.7.0 și versiunile anterioare |
Toate |
|
| 6.4.8.3 și versiunile anterioare |
Toate |
|
| 6.3.3.8 și versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:
Produs |
Versiunea |
Platformă |
Prioritatea |
Disponibilitate |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toate | 2 | Note de lansare |
6.5.8.0 |
Toate |
2 |
Note privind lansarea pachetului AEM 6.5 Service Pack | |
6.4.8.4 |
Toate |
2 |
Note privind lansarea pachetului de remedieri cumulative AEM 6.4 |
Notă:
Clienții care rulează în serviciul cloud din Adobe Experience Manager vor primi automat actualizările care includ caracteristici noi, precum și remedieri ale erorilor de funcționalitate și de securitate.
Notă:
Pachetul de remedieri cumulative AEM 6.4.8.4 este o actualizare importantă care include mai multe remedieri interne și de la clienți, lansate după data de disponibilitate generală a pachetului AEM 6.4 Service Pack 8 (6.4.8.0), în martie 2020.
Notă:
Contactați serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM 6.3 și 6.2.
Detalii privind vulnerabilitatea
|
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Număr CVE |
Versiuni afectate |
|---|---|---|---|---|
|
Control inadecvat al accesului |
Refuz de serviciu pentru aplicație |
Importantă |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
|
Scriptare între site-uri (stocată) |
Executare arbitrară de cod JavaScript în browser |
Critică |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
Actualizări ale dependențelor
| Dependență |
Impactul vulnerabilității |
Versiunile afectate |
| Commons-io |
Control inadecvat al accesului |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| MetadataExtractor |
Consum necontrolat de resurse |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| FasterXML Jackson Databind/Core |
Executare de cod de la distanță |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Eclipse Jetty |
Control inadecvat al accesului |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Lucene Queryparser |
Executare de cod de la distanță |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache XML-RPC |
Executare de cod arbitrară |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Zip4j |
Executare de cod arbitrară |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Directory LDAP API |
Control inadecvat al accesului | AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Sling |
Control inadecvat al accesului | AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Felix |
Executare de cod arbitrară |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Solr |
Acces pentru citire și scriere inadecvat |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| Apache Tomcat |
Control inadecvat al accesului |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
| jQuery |
Executare de cod arbitrară |
AEM CS AEM 6.5.7.0 și versiunile anterioare AEM 6.4.8.3 și versiunile anterioare AEM 6.3.3.8 și versiunile anterioare |
Mențiuni
Adobe dorește să mulțumească lui Thomas Hartmann de la netcentric (CVE-2021-21083) pentru raportarea ambelor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri.
