Обновления безопасности для Adobe Experience Manager Forms

Дата выпуска: 13 декабря 2016 г.

Идентификатор уязвимости: APSB16-40

Приоритет: 3

Номер CVE: CVE-2016-6933, CVE-2016-6934

Платформа: Windows, Linux, Solaris и AIX

Сводка

Компания Adobe выпустила обновления безопасности для Adobe Experience Manager (AEM) Forms в ОС Windows, Linux, Solaris и AIX.Эти обновления устраняют две важных проблемы с проверкой ввода, которые могли быть использованы в атаках типа сценариев междоменного вызова (CVE-2016-6933 и CVE-2016-6934).Компания Adobe рекомендует пользователям установить доступные обновления, следуя инструкциям, приведенным в разделе «Решения» ниже.

Примечание. В 2015 приложение AEM Forms было выпущено для замены Adobe LiveCycle.  

Затронутые версии

Продукт Затронутая версия Платформа
Adobe Experience Manager Forms

6.2
6.1
6.0

Windows, Linux, Solaris и AIX
LiveCycle

11.0.1
10.0.4

Windows, Linux, Solaris и AIX

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям с продуктами, развернутыми внутри компании, установить доступные обновления, указанные ниже, при поддержке специалистов службы поддержки клиентов Adobe Marketing Cloud.

Продукт Исправляемая версия Платформа Рейтинг приоритета
Adobe Experience Manager Forms 6.2 AEMForms-6.2.0-0002 Windows, Linux, Solaris и AIX
3
Adobe Experience Manager Forms 6.1 6.1.0-COR-1064-012
6.1.0-PRM-1065-020
Windows, Linux, Solaris и AIX 3
Adobe Experience Manager Forms 6.0 6.0.0-COR-1042-015
6.0.0-PRM-1043-020
Windows, Linux, Solaris и AIX 3
LiveCycle 11.0.1 11.0.1-COR-1155-044
11.0.1-PRM-1161-017
Windows, Linux, Solaris и AIX
3
LiveCycle 10.0.4 10.0.4-COR-1064-025
10.0.4-PRM-1065-007
Windows, Linux, Solaris и AIX
3

Сведения об уязвимости

Описание CVE Исправляемая версия
В этом обновлении устранена проблема с проверкой ввода в AACComponent, которая могла использоваться в атаках с использованием сценариев междоменного вызова.
CVE-2016-6933  AEMForms-6.2.0-0002
6.1.0-COR-1064-012
6.0.0-COR-1042-015
11.0.1-COR-1155-044
10.0.4-COR-1064-025

В этих обновлениях устранена проблема с проверкой ввода в PMAdmin, которая могла использоваться в атаках с использованием сценариев междоменного вызова.
CVE-2016-6934 AEMForms-6.2.0-0002
6.1.0-PRM-1065-020
6.0.0-PRM-1043-020
11.0.1-PRM-1161-017
10.0.4-PRM-1065-007

Благодарности

Компания Adobe выражает благодарность Адаму Уилларду (Adam Willard), Blue Canopy за сообщение об этих проблемах (CVE-2016-6933 и CVE-2016-6934) и за помощь Аdobe в обеспечении защиты наших клиентов.