Исправления безопасности для Adobe Experience Manager

Дата выпуска: 9 августа 2016 г.

Идентификатор уязвимости: APSB16-27

Приоритет:  уровень 2

Номер CVE: CVE-2016-4168, CVE-2016-4169, CVE-2016-4170, CVE-2016-4253

Платформа: Windows, Unix, Linux и OS X

Сводка

Компания Adobe выпустила исправления безопасности для Adobe Experience Manager. Эти исправления призваны решить две важные проблемы с проверкой ввода, которые могли бы использоваться в атаках типа сценариев междоменного вызова (CVE-2016-4168 и CVE-2016-4170), важной уязвимости в работе функции резервного копирования, которая могла привести к раскрытию информации (CVE-2016-4253), а также важной уязвимости, которая могла использоваться для просмотра событий журнала аудита пользователям, не обладающих соответствующими привилегиями (CVE-2016-4169).

Затронутые версии

Продукт Затронутые версии Платформа
  6.2 Windows, Unix, Linux и OS X
Adobe Experience Manager 6.1 Windows, Unix, Linux и OS X
  6.0 Windows, Unix, Linux и OS X
  5.6.1 Windows, Unix, Linux и OS X

Решение

Компания Adobe рекомендует заказчикам с продуктами, развернутыми внутри компании, установить доступные исправления, указанные ниже. Более того, клиентам необходимо просмотреть и выполнить действия из контрольных списков требований по безопасности для версий 6.26.16.0 или 5.6.1.

Продукт Версии Рейтинг приоритета Доступность
  6.2
2 Исправления (6.2)
Adobe Experience Manager 6.1 2 Исправления (6.1)
  6.0 2 Исправления (6.0)
  5.6.1 2 Исправления (5.6.1)

Посетите страницу справки Adobe Experience Manager для получения дополнительной информации о доступных исправлениях.

Сведения об уязвимости

Описание CVE Затронутые версии Загрузить пакет

Исправления устраняют проблему с проверкой ввода, которая могла использоваться в атаках с использованием сценариев междоменного вызова.

CVE-2016-4168
6.1 и более ранние версии Исправление 9639 для версии 6.1
Исправление 10767 версии 6.0
Исправление 10764 для версии 5.6.1

Исправления позволяют устранить уязвимость, которая потенциально могла допускать просмотр событий журнала аудита пользователями, не обладающими соответствующими привилегиями.

CVE-2016-4169
6.2, 6.1 и 6.0 Исправление 10956 для версии 6.2
Исправление 10768 для версии 6.1
Исправление 10767 для версии 6.0

Исправления устраняют проблему с проверкой ввода, которая могла использоваться в атаках с использованием сценариев междоменного вызова.

CVE-2016-4170
6.2 и более ранние версии Исправление 10936 для версии 6.2
Исправление 10936 для версии 6.1
Исправление 10936 для версии 6.0
Исправление 10936 для версии 5.6.1

Исправления позволяют устранить уязвимость в функции резервного копирования, которая могла привести к раскрытию информации.

CVE-2016-4253 6.2 и более ранние версии Исправление 10870 для версии 6.2
Исправление 10870 для версии 6.1
Исправление 10870 для версии 6.0
Исправление 10870 для версии 5.6.1

Благодарности

Компания Adobe выражает благодарность следующим людям за сообщение об этих проблемах и за содействие в защите наших клиентов:

  • Адам Виллард, Raytheon Foreground Security (CVE-2016-4168)
  • Нинад Саранг (@hbkninad) (CVE-2016-4169)
  • Франц Саллер (CVE-2016-4170)
  • Кайл Ловетт (CVE-2016-4253)