Säkerhetsuppdateringar för Adobe Experience Manager

Releasedatum: 9 februari 2016

Senast uppdaterad: 12 februari 2016

Sårbarhets-ID: APSB16-05

+Prioritet: 2

CVE-nummer: CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Plattform: Windows, Unix, Linux och OS X

Sammanfattning

Adobe har släppt säkerhetsrelaterade snabbkorrigeringar för Adobe Experience Manager. Dessa snabbkorrigeringar åtgärdar viktiga säkerhetsluckor som kan medföra att information exponeras.

Berörda versioner

Produkt Berörda versioner Plattform
  6.1.0 Windows, Unix, Linux och OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux och OS X
  5.6.1 Windows, Unix, Linux och OS X

Lösning

Adobe rekommenderar att kunder med anläggningsdistributioner installerar de tillgängliga snabbkorrigeringarna enligt nedan.  Granska och implementera stegen som beskrivs i säkerhetschecklistan för version 6.1, 6.0 eller 5.6.1.

Produkt Versioner Prioritet Tillgänglighet
  6.1.0
2 Snabbkorrigeringar (6.1.0)
Adobe Experience Manager 6.0.0 2 Snabbkorrigeringar (6.0)
  5.6.1 2 Snabbkorrigeringar (5.6.1)

Mer information om tillgängliga snabbkorrigeringar finns på hjälpsidan i Adobe Experience Manager.

Sårbarhetsinformation

Beskrivning CVE Hämtningspaket
  • Snabbkorrigering 8364 innehåller en agent för åtgärdande av deserialiseringsproblem i Java
CVE-2016-0958

Snabbkorrigering för 6.1
Snabbkorrigering för 6.0
Snabbkorrigering för 5.6.1

  • Snabbkorrigering 8651 löser ett problem med serveröverskridande skriptning (cross-site scripting) – som bara påverkar version 6.1.0 – som kan medföra informationsexponering
CVE-2016-0955

Snabbkorrigering för 6.1

  • Snabbkorrigering 6445 åtgärdar ett informationsexponeringsproblem som berör Apache Sling Servlets Post 2.3.6 och tidigare versioner
CVE-2016-0956

Snabbkorrigering för 6.1
Snabbkorrigering för 6.0
Snabbkorrigering för 5.6.1

  • Dispatcher 4.1.5 och senare åtgärdar en sårbarhet med åsidosättande av URL-filter som kan användas för att kringgå dispatcherregler
CVE-2016-0957 Dispatcher

Tack

Adobe tackar följande personer för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:

  • Damian Pfammatter vid Compass Security Schweiz AG (CVE-2016-0955)
  • Ateeq din Rehman Khan vid Khan - Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

Revisioner

12 februari 2016:

  • Lade till ”och tidigare versioner” för att klargöra att CVE-2016-0956 påverkar Apache Sling Servlets Post 2.3.6 och tidigare versioner.  
  • Ändrade beskrivningen av CVE-2016-0955 för att förtydliga att endast version 6.1.0 påverkas. Versioner före AEM 6.1.0 påverkas inte av CVE-2016-0955.  
  • Ändrade formatet för avsnittet Sårbarhetsinformation till tabellformat och inkluderade URL:er till hämtningspaketen för varje snabbkorrigering.