Bulletin-ID
Senast uppdaterad den
2 maj 2021
Säkerhetsuppdateringar för Adobe Experience Manager | APSB20-72
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB20-72 |
8 december 2020 |
2 |
Sammanfattning
Berörda produktversioner
| Produkt | Version | Plattform |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alla |
| 6.5.6.0 och tidigare versioner |
Alla |
|
| 6.4.8.2 och tidigare versioner |
Alla |
|
| 6.3.3.8 och tidigare versioner |
Alla |
|
| 6.2 SP1-CFP20 och tidigare versioner |
Alla |
|
| AEM Forms-tillägg |
AEM Forms Service Pack 6 tilläggspaket för AEM 6.5.6.0 |
Alla |
| AEM Forms tilläggspaket för AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:
Produkt |
Version |
Plattform |
Prioritet |
Tillgänglighet |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alla | 2 | Versionsinformation |
6.5.7.0 |
Alla |
2 |
AEM 6.5 Service Pack versionsinformation |
|
6.4.8.3 |
Alla |
2 |
||
AEM Forms-tillägg |
AEM Forms Service Pack 7 |
Alla |
2 |
AEM Forms-versioner |
| AEM 6.4 Service Pack 8 CFP 3 |
Alla | 2 | AEM Forms-versioner |
Obs!
Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.
Obs!
Adobe Experience Manager 6.5.7.0 är en viktig uppdatering som innehåller nya funktioner, viktiga förbättringar som kunderna efterfrågat samt förbättringar av prestanda, stabilitet och säkerhet som släppts sedan den allmänna tillgängligheten av version 6.5 i april 2019. Den kan installeras ovanpå Adobe Experience Manager 6.5.
Obs!
AEM Cumulative Fix Pack 6.4.8.3 är en viktig uppdatering som innehåller flera interna korrigeringar och kundkorrigeringar sedan den allmänna tillgängligheten av 6.4 Service Pack 8 (6.4.8.0) i mars 2020. AEM Cumulative Fix Pack 6.4.8.3 är beroende av AEM 6.4 Service Pack 8. Du måste därför installera paketet AEM Cumulative Fix Pack 6.4.8.3 efter installation av AEM 6.4 Service Pack 8.
Obs!
Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.3 och 6.2.
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
CVE-nummer |
Berörda versioner |
|---|---|---|---|---|
|
Förfalskad begäran på serversidan |
Exponering av känslig information |
Viktig |
CVE-2020-24444 |
AEM Forms SP6-tillägg för AEM 6.5.6.0 och tidigare versioner AEM Forms tilläggspaket för AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) och tidigare |
|
Serveröverskridande skriptning (lagrad) |
Godtycklig JavaScript-körning i webbläsaren |
Kritisk |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 och tidigare |
Uppdateringar av beroenden
| Beroende |
Sårbarhetens inverkan |
Berörda versioner |
| Apache Abdera |
Resursförbrukning |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Apache Batik |
Förfalskad begäran på serversidan |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Apache Commons Compress |
Resursförbrukning |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Apache OpenNLP |
XML-injektion av extern enhet (XXE) |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Schemaläggaren för Apache Sling |
XML-injektion av extern enhet (XXE) |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Apache Xerces2 |
Resursförbrukning |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| CKEditor |
Godtycklig JavaScript-körning i webbläsaren |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Eclipse Jetty |
Resursförbrukning |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Google-oauth-client |
Felaktig auktorisering |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Handlebars.js |
Protokollföroreningar |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Jackson Mapper |
XML-injektion av extern enhet (XXE) |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| jQuery |
Godtycklig JavaScript-körning i webbläsaren |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Spring Framework |
Kataloggenomgång |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
| Zip4j |
Kataloggenomgång |
AEM CS AEM 6.5.6.0 och tidigare AEM 6.4.8.2 och tidigare AEM 6.3.3.8 och tidigare |
Tack
Adobe tackar Frank Karlstrøm och Kenny Jansson på Storebrand Group i Norge (CVE-2020-24444) för att de samarbetar med Adobe i säkerhetsfrågor.
Revisioner
13 januari 2021: Borttagen AEM 6.4.8.2 och 6.3.3.8 från listan över versioner som påverkas av CVE-2020-24445.
