Säkerhetsuppdateringar för Adobe Experience Manager | APSB17-41
Bulletin-ID Publiceringsdatum Prioritet
APSB17-41 14 november 2017
3

Sammanfattning

Adobe har släppt säkerhetsuppdateringar för Adobe Experience Manager. Dessa uppdateringar åtgärdar en sårbarhet relaterad till reflekterande serveröverskridande skriptattacker som klassas som måttlig i HtmlRendererServlet (CVE-2017-3109), en informationsexponeringslucka (CVE-2017-3111) som är klassad som viktig där ett känsligt token ingår i en GET-begäran under vissa förhållanden och en sårbarhet relaterad till serveröverskridande skriptattacker (CVE-2017-11296) i Apache Sling Servlets Post 2.3.20 klassad som viktig

Berörda produktversioner

Produkt Version Plattform
Adobe Experience Manager

6,3

6.2

6.1

6.0

Alla

Obs!

HtmlRendererServleten bör inaktiveras i produktionssystem.  Läs mer i Köra AEM i Produktionsklart läge

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt Version Plattform Prioritet Tillgänglighet
Adobe Experience Manager
6.3
Alla 3 Versionsinformation
6.2 Alla 3 Versionsinformation
6.1 Alla 3 Versionsinformation
6.0 Alla 3 Versionsinformation

Kontakta Adobes kundtjänst för hjälp med tidigare AEM-versioner.

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer Berörd version Hämtningspaket
Reflekterande serveröverskridande skriptattacker Informationsexponering
Måttlig
CVE-2017-3109
AEM 6.3 och tidigare

Programfix 17136 för 6.0.0

Kumulativt korrigeringspaket för 6.1 SP2 – AEM-6.1-SP2-CFP9

Kumulativt korrigeringspaket för 6.2 SP1 – AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Känsligt token i HTTP GET-begäran Informationsexponering Viktig CVE-2017-3111
AEM 6.1, AEM 6.2 Kumulativt korrigeringspaket för 6.1 SP2 –  AEM-6.1-SP2-CFP12

Kumulativt korrigeringspaket för 6.2 SP1 – AEM-6.2-SP1-CFP2
Serveröverskridande skriptattacker
Informationsexponering Viktig CVE-2017-11296 AEM 6.3 och tidigare

Programfix 18963 för 6.0.0

Kumulativt korrigeringspaket för 6.1 SP2 – AEM-6.1-SP2-CFP12

Kumulativt korrigeringspaket för 6.2 SP1 – AEM-6.2-SP1-CFP6

Kumulativt korrigeringspaket för AEM-CFP-6.3.0.2

 

Obs!

Paketen som anges i tabellen ovan är de minimala korrigerande paket som åtgärdar den listade säkerhetsluckan.  För de senaste versionerna se versionsinformationslänkarna ovan.

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Nagamarimuthu på Cognizant Technology Solutions – Enterprise Risk & Security Solutions (CVE-2017-3109)