Adobe Güvenlik Bülteni

Adobe Experience Manager için güvenlik güncellemeleri mevcut | APSB19-48

Bülten No

Yayınlandığı Tarih

Öncelik

APSB19-48

15 Ekim 2019

2

Özet

Adobe Adobe Experience Manager (AEM) için güvenlik güncellemeleri yayınlandı. Bu güncellemeler, AEM sürüm 6.3, 6.4 ve 6.5'teki çeşitli güvenlik açıklarını giderir. Başarılı bir sömürü, AEM ortamına yetkisiz erişime neden olabilir.

Etkilenen ürün sürümleri

Ürün

Sürüm

Platform

Adobe Experience Manager

6.5

6.4

6.3

6.2

6.1

6.0

Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün

Sürüm

Platform

Öncelik

Bulunma Durumu

 

Adobe Experience Manager

6.5

Tümü

2

Bültenler ve Güncellemeler

6.4

Tümü

2

Bültenler ve Güncellemeler

6.3

Tümü

2

Bültenler ve Güncellemeler

Eski AEM sürümlerine yönelik yardım için Adobe müşteri hizmetleri ile iletişime geçin.

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi

Güvenlik Açığı Etkisi

Önem Derecesi

CVE Numarası 

Etkilenen Sürümler Karşıdan Yükleme Paketi
Siteler Arası İstek Dolandırıcılığı Hassas Bilgi ifşası Önemli

CVE-2019-8234

 

AEM 6.2

AEM 6.3

AEM 6.4

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

Yansıtılmış Çapraz Site Komut Dosyası

Hassas Bilgi ifşası

 

Orta Dereceli CVE-2019-8078

AEM 6.2

AEM 6.3

AEM 6.4

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

Saklanan Çapraz Site Komut Dosyası Hassas Bilgi ifşası Önemli CVE-2019-8079

AEM 6.0

AEM 6.1

AEM 6.2

AEM 6.3 

AEM 6.4

6.3 SP3 – AEM-6.3.3.6 için Toplu Düzeltme Paketi

AEM-6.4.4.0 için Service Pack 6.4

Saklanan Çapraz Site Komut Dosyası Ayrıcalığı Yükseltme Önemli 

CVE-2019-8080

 

AEM 6.3

AEM 6.4

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

Kimlik doğrulama bypass'ı

 

 

Hassas Bilgi ifşası Önemli CVE-2019-8081

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5 

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

AEM-6.5.2.0 için Service Pack 6.5 

XML Harici Varlık Enjeksiyonu

Hassas Bilgi ifşası

 

Önemli CVE-2019-8082

AEM 6.2

AEM 6.3 

AEM 6.4

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

Siteler Arası Komut Dosyası

Hassas Bilgi ifşası

 

Orta Dereceli

 

CVE-2019-8083

 

AEM 6.3

AEM 6.4

AEM 6.5

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

AEM-6.5.2.0 için Service Pack 6.5 

Yansıtılmış Çapraz Site Komut Dosyası

Hassas Bilgi ifşası

 

 

Orta Dereceli

 

 

 

 

CVE-2019-8084

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

6.3 SP3 – AEM-6.3.3.6 için Toplu Düzeltme Paketi

AEM-6.4.5.0 için Service Pack 6.4

AEM-6.5.2.0 için Service Pack 6.5 

Yansıtılmış Çapraz Site Komut Dosyası

 

 

Hassas Bilgi ifşası

 

 

Orta Dereceli

 

 

 

 

CVE-2019-8085

 

 

AEM 6.2

AEM 6.3

AEM 6.4 

AEM 6.5

6.3 SP3 – AEM-6.3.3.6 için Toplu Düzeltme Paketi

AEM-6.4.5.0 için Service Pack 6.4

AEM-6.5.2.0 için Service Pack 6.5 

XML Harici Varlık Enjeksiyonu

 

 

Hassas Bilgi ifşası

 

 

Önemli

 

 

CVE-2019-8086

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

 

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

AEM-6.5.2.0 için Service Pack 6.5 

XML Harici Varlık Enjeksiyonu

 

 

Hassas Bilgi ifşası

 

Önemli

 

 

CVE-2019-8087

 

 

AEM 6.2

AEM 6.3 

AEM 6.4

AEM 6.5

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

AEM-6.5.2.0 için Service Pack 6.5 

JavaScript Kod Enjeksiyonu

 

 

Rastgele Kod Yürütme

 

 

Kritik

 

 

CVE-2019-8088*

 

 

AEM 6.2

AEM 6.3

AEM 6.4

AEM 6.5

 

6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi

AEM-6.4.6.0 için Service Pack 6.4

AEM-6.5.2.0 için Service Pack 6.5 

Not:

JavaScript kod yürütmesi (CVE-2019-8088) yalnızca 6.2 sürümünü etkilemektedir.6.3 sürümüyle başlamak üzere, katı bir şekilde havuzlanmış Rhino motoru JavaScript yürütmek için kullanılıyor. Bu, CVE-2019-8088 açığının Sunucu Tarafı İstek Sahtekarlığı (SSRF) saldırılarını ve hizmeti engelleme (DoS) saldırılarını saklama etkisini azaltıyor. 

Not:

Not: Yukarıdaki tabloda listelenen paketler, listedeki güvenlik açıkları için minimum onarım paketleridir.En güncel versiyonlar için lütfen yukarıda referans verilen sürüm notları linklerine bakın.

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:     

  • Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)

Değişiklikler

15 Ekim 2019: CVE id CVE-2019-8077'den CVE-2019-8234'e güncellendi.

11 Mart 2020: JavaScript kod yürütmesinin (CVE-2019-8088) yalnızca AEM 6.2›yi etkilediğine dair bir açıklama notu eklendi.  

Adobe logosu

Hesabınıza giriş yapın