Обновления безопасности для Adobe Experience Manager

Дата выпуска: 9 февраля 2016 г.

Последнее обновление: 12 февраля 2016 г.

Идентификатор уязвимости: APSB16-05

Приоритет:  уровень 2

Номер CVE: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Платформа: Windows, Unix, Linux и OS X

Сводка

Компания Adobe выпустила исправления безопасности для Adobe Experience Manager. Эти исправления выпуска позволяют решить важные уязвимости, которые потенциально могут привести к раскрытию информации.

Затронутые версии

Продукт Затронутые версии Платформа
  6.1.0 Windows, Unix, Linux и OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux и OS X
  5.6.1 Windows, Unix, Linux и OS X

Решение

Компания Adobe рекомендует заказчикам с продуктами, развернутыми внутри компании, установить доступные исправления, указанные ниже. Более того, клиентам необходимо просмотреть и выполнить действия из контрольных списков требований по безопасности для версий 6.1, 6.0 или 5.6.1.

Продукт Версии Рейтинг приоритета Доступность
  6.1.0
2 Исправления (6.1.0)
Adobe Experience Manager 6.0.0 2 Исправления (6.0)
  5.6.1 2 Исправления (5.6.1)

Посетите страницу справки Adobe Experience Manager для получения дополнительной информации о доступных исправлениях.

Сведения об уязвимости

Описание CVE Загрузить пакет
  • Исправление 8364 включает агент для устранения уязвимости десериализации java
CVE-2016-0958

Исправление для версии 6.1
Исправление для версии 6.0
Исправление для версии 5.6.1

  • Исправление 8651 решает проблему уязвимости межсайтового выполнения сценариев, которая может привести к раскрытию информации исключительно при использовании версии 6.1.0
CVE-2016-0955

Исправление для версии 6.1

  • Исправление 6445 решает проблему уязвимости, которая может привести к раскрытию информации при использовании Apache Sling Servlets Post 2.3.6 и более ранних версий
CVE-2016-0956

Исправление для версии 6.1
Исправление для версии 6.0
Исправление для версии 5.6.1

  • Диспетчер версии 4.1.5 и выше устраняет уязвимость обхода фильтра URL-адресов, которая может использоваться для обхода правил диспетчера
CVE-2016-0957 Диспетчер

Благодарности

Компания Adobe выражает благодарность следующим людям за сообщение об этих проблемах и за содействие в защите наших клиентов:

  • Дамиан Пфамматтер из Compass Security Schweiz AG (CVE-2016-0955)
  • Атик ур Рехман Хан – Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

Редакции

12 февраля 2016 г.:

  • Добавлено «и более ранних версий» для пояснения, что уязвимость CVE-2016-0956 влияет на Apache Sling Servlets Post 2.3.6 и более ранних версий.  
  • Изменено описание уязвимости CVE-2016-0955 для уточнения, что она существует только в версии 6.1.0. В версиях до AEM 6.1.0 уязвимость CVE-2016-0955 не существует.  
  • Раздел сведений об уязвимости изменен и представлен в табличном формате, а также добавлены URL-адреса для загрузки пакетов для каждого исправления.