Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Adobe Experience Manager | APSB20-72

Bulletin-ID

Publiceringsdatum

Prioritet

APSB20-72

8 december 2020 

2

Sammanfattning

Adobe har släppt uppdateringar för Adobe Experience Manager (AEM) och tilläggspaketet AEM Forms. Uppdateringarna åtgärdar säkerhetsluckor som klassats som kritiska och viktiga.


Berörda produktversioner

Produkt Version Plattform

 

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alla
6.5.6.0 och tidigare versioner
Alla
6.4.8.2 och tidigare versioner
Alla 
6.3.3.8 och tidigare versioner
Alla 
6.2 SP1-CFP20 och tidigare versioner 
Alla 
AEM Forms-tillägg 
AEM Forms Service Pack 6 tilläggspaket för AEM 6.5.6.0
Alla 
AEM Forms tilläggspaket för AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Version

Plattform

Prioritet

Tillgänglighet

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alla 2 Versionsinformation

6.5.7.0 

Alla

2

AEM 6.5 Service Pack versionsinformation   

6.4.8.3

Alla

2

Versionsinformation om AEM 6.4 Cumulative Fix Pack  

 

AEM Forms-tillägg

AEM Forms Service Pack 7
Alla
2
AEM Forms-versioner
AEM 6.4 Service Pack 8 CFP 3
Alla 2 AEM Forms-versioner
Obs!

Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.  

Obs!

Adobe Experience Manager 6.5.7.0 är en viktig uppdatering som innehåller nya funktioner, viktiga förbättringar som kunderna efterfrågat samt förbättringar av prestanda, stabilitet och säkerhet som släppts sedan den allmänna tillgängligheten av version 6.5 i april 2019.  Den kan installeras ovanpå Adobe Experience Manager 6.5.

Obs!

AEM Cumulative Fix Pack 6.4.8.3 är en viktig uppdatering som innehåller flera interna korrigeringar och kundkorrigeringar sedan den allmänna tillgängligheten av 6.4 Service Pack 8 (6.4.8.0) i mars 2020. AEM Cumulative Fix Pack 6.4.8.3 är beroende av AEM 6.4 Service Pack 8. Du måste därför installera paketet AEM Cumulative Fix Pack 6.4.8.3 efter installation av AEM 6.4 Service Pack 8.

Obs!

Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.3 och 6.2.

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVE-nummer 

Berörda versioner

Förfalskad begäran på serversidan

Exponering av känslig information

Viktig

CVE-2020-24444

AEM Forms SP6-tillägg för AEM 6.5.6.0 och tidigare versioner

AEM Forms tilläggspaket för AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) och tidigare

Serveröverskridande skriptning (lagrad)

Godtycklig JavaScript-körning i webbläsaren

Kritisk

CVE-2020-24445

AEM CS

AEM 6.5.6.0 och tidigare

Uppdateringar av beroenden

Beroende
Sårbarhetens inverkan
Berörda versioner
Apache Abdera
Resursförbrukning

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Apache Batik
Förfalskad begäran på serversidan

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Apache Commons Compress
Resursförbrukning

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Apache OpenNLP
XML-injektion av extern enhet (XXE)

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Schemaläggaren för Apache Sling
XML-injektion av extern enhet (XXE)

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Apache Xerces2
Resursförbrukning

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

CKEditor
Godtycklig JavaScript-körning i webbläsaren

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Eclipse Jetty
Resursförbrukning

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Google-oauth-client
Felaktig auktorisering

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Handlebars.js
Protokollföroreningar

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Jackson Mapper
XML-injektion av extern enhet (XXE)

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

jQuery
Godtycklig JavaScript-körning i webbläsaren

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Spring Framework
Kataloggenomgång

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Zip4j
Kataloggenomgång

AEM CS

AEM 6.5.6.0 och tidigare

AEM 6.4.8.2 och tidigare

AEM 6.3.3.8 och tidigare

Tack

Adobe tackar Frank Karlstrøm och Kenny Jansson på Storebrand Group i Norge (CVE-2020-24444) för att de samarbetar med Adobe i säkerhetsfrågor.

Revisioner

13 januari 2021: Borttagen AEM 6.4.8.2 och 6.3.3.8 från listan över versioner som påverkas av CVE-2020-24445.  

Adobes logotyp

Logga in på ditt konto