Бюллетень безопасности Adobe

Обновления безопасности для Adobe Experience Manager

Дата выпуска: 13 декабря 2016 г.

Последнее обновление: 14 декабря 2016 г.

Идентификатор уязвимости: APSB16-42

Приоритет:  уровень 2

Номер CVE: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Платформа: все

Сводка

Компания Adobe выпустила обновления безопасности для Adobe Experience Manager. Этот обновление устраняет три важных проблемы с проверкой ввода, которые могут быть использованы в атаках с использованием сценариев междоменного вызова (CVE-2016-7882, CVE-2016-7883 и CVE-2016-7884) и включает в себя обновление, которое обеспечивает защиту пользователей от важной уязвимости, связанной с подделкой межсайтовых запросов (CVE-2016-7885).

Затронутые версии

Продукт Затронутые версии Платформа
  6.2 Все
Adobe Experience Manager 6.1 Все
  6.0 Все

Решение

Компания Adobe рекомендует заказчикам с продуктами, развернутыми внутри компании, установить доступные обновления, указанные ниже. Более того, клиентам необходимо просмотреть и выполнить действия из контрольных списков требований по безопасности для версий 6.26.1 или 6.0.

Продукт Версии Рейтинг приоритета Доступность
  6.2
2 Сведения о выпуске
Adobe Experience Manager 6.1 2 Сведения о выпуске
  6.0 2 Сведения о выпуске

Для получения помощи с более ранними версиями AEM обратитесь в отдел обслуживания клиентов компании Adobe.

Сведения об уязвимости

Описание CVE Затронутые версии Загрузить пакет

В этом обновлении устранена важная проблема с проверкой ввода в фильтре WCMDebug, которая могла использоваться в атаках с использованием сценариев междоменного вызова.

CVE-2016-7882
6.2 и более ранние версии Исправление 12444 для версии 6.2
Исправление 12444 для версии 6.1 с пакетом обновления SP2 [0]
Исправление 12444 для версии 6.0 с пакетом обновления SP3

В этих обновлениях устранена важная проблема с проверкой ввода внутри мастера создания запуска, которая могла использоваться в атаках с использованием сценариев междоменного вызова.

CVE-2016-7883
6.2 Исправление 13062 для 6.2

Эти обновления устраняют важную проблему с проверкой ввода в ресурсах создания DAM, которая могла использоваться в атаках с использованием сценариев междоменного вызова.

CVE-2016-7884
6.1 и более ранние версии Накопительный пакет исправлений для версии 6.1 с пакетом обновления SP2
Исправление 13297 для 6.0 с пакетом обновления SP3

Обновления в компоненте Jackrabbit, которые защищают пользователей от подделки межсайтовых запросов.

CVE-2016-7885 6.2 и более ранние версии Исправление 13547 для версии 6.2
Исправление 12817 для версии 6.1
Исправление 12846 для версии 6.0

Примечание [0]: исправление 12444 для версии 6.1 с пакетом обновления SP2 входит в состав AEM 6.1 SP2 CFP2.

Благодарности

Компания Adobe выражает благодарность Даниэлю Хамиду (Daniel Hamid) за сообщение о проблеме CVE-2016-7882 и за помощь Adobe в обеспечении защиты наших клиентов. Сведения об уязвимостях CVE-2016-7883, CVE-2016-7884 и CVE-2016-7885 предоставили анонимные пользователи.

Редакции

14 декабря 2016 г.: исправлено описание, указано, что проблема затрагивает все платформы (ранее было указаны платформы Windows, Unix, Linux и OS X). Также добавлено примечание, указывающее, что исправление 12444 ранее было включено в AEM 6.1 SP2 CFP2.