Säkerhetsuppdateringar för Adobe Experience Manager

Releasedatum: 13 december 2016

Senast uppdaterad: 14 december 2016

Sårbarhets-ID: APSB16-42

Prioritet: 2

CVE-nummer: CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Plattform: Alla

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Experience Manager. Uppdateringarna åtgärdar tre viktiga indatavalideringsfel som kan användas i attacker med korsskriptning mellan webbplatser (CVE-2016-7882, CVE-2016-7883 och CVE-2016-7884), och inkluderar en uppdatering som skyddar användare från en viktig sårbarhet (Cross-Site Request Forgery) som handlar om förfalskade förfrågningar mellan webbplatser (CVE-2016-7885).

Berörda versioner

Produkt Berörda versioner Plattform
  6.2 Alla
Adobe Experience Manager 6.1 Alla
  6.0 Alla

Lösning

Adobe rekommenderar att kunder med anläggningsdistributioner installerar de tillgängliga uppdateringarna enligt nedan. Granska och implementera stegen som beskrivs i säkerhetschecklistan för version 6.26.1 eller 6.0.

Produkt Versioner Prioritet Tillgänglighet
  6.2
2 Versionsinformation
Adobe Experience Manager 6.1 2 Versionsinformation
  6.0 2 Versionsinformation

Kontakta Adobes kundtjänst för hjälp med tidigare AEM-versioner.

Sårbarhetsinformation

Beskrivning CVE Berörda versioner Hämtningspaket

Uppdateringarna åtgärdar ett viktigt indatavalideringsfel i WCMDebug-filtret som kan användas i attacker med korsskriptning mellan webbplatser.

CVE-2016-7882
6.2 och tidigare versioner Programfix 12444 för 6.2
Programfix 12444 för 6.1 SP2 [0]
Programfix 12444 för 6.0 SP3

Uppdateringarna åtgärdar ett viktigt indatavalideringsfel i guiden för att skapa en lansering som kan användas i attacker med korsskriptning mellan webbplatser.

CVE-2016-7883
6.2 Programfix 13062 för 6.2

Uppdateringarna åtgärdar ett viktigt indatavalideringsfel i DAM-funktionen för att skapa resurser som kan användas i attacker med korsskriptning mellan webbplatser.

CVE-2016-7884
6.1 och tidigare versioner Kumulativt korrigeringspaket för 6.1 SP2
Programfix 13297 för 6.0 SP3

Uppdateringar i den Jackrabbit komponent som skyddar användare från CSRF-attacker (Cross-Site Request Forgery).

CVE-2016-7885 6.2 och tidigare versioner Programfix 13547 för 6.2
Programfix 12817 för 6.1
Programfix 12846 för 6.0

[0] Obs! Programfix 12444 för 6.1 SP2 ingår i AEM 6.1 SP2 CFP2.

Tack

Adobe tackar Daniel Hamid för rapporteringen av CVE-2016-7882 och för samarbetet med oss i säkerhetsfrågor.  CVE-2016-7883, CVE-2016-7884 och CVE-2016-7885 rapporterades anonymt.

Revisioner

14 december 2016: Ändrade de påverkade plattformarna till Alla (tidigare bara Windows, Unix, Linux och OS X). Dessutom lades en kommentar till för att förtydliga att programfixen 12444 tidigare ingick i AEM 6.1 SP2 CFP2.