Bülten No
Adobe Experience Manager için güvenlik güncellemeleri mevcut | APSB20-72
|
Yayınlandığı Tarih |
Öncelik |
---|---|---|
APSB20-72 |
8 Aralık 2020 |
2 |
Özet
Etkilenen ürün sürümleri
Ürün | Sürüm | Platform |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Tümü |
6.5.6.0 ve önceki sürümler |
Tümü |
|
6.4.8.2 ve önceki sürümler |
Tümü |
|
6.3.3.8 ve önceki sürümler |
Tümü |
|
6.2 SP1-CFP20 ve önceki sürümler |
Tümü |
|
AEM Forms eklentisi |
AEM 6.5.6.0 için AEM Forms Service Pack 6 eklenti paketi |
Tümü |
AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) için AEM Forms eklenti paketi |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:
Ürün |
Sürüm |
Platform |
Öncelik |
Bulunma Durumu |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Tümü | 2 | Sürüm Notları |
6.5.7.0 |
Tümü |
2 |
AEM 6.5 Service Pack Sürüm Notları |
|
6.4.8.3 |
Tümü |
2 |
||
AEM Forms eklentisi |
AEM Forms Service Pack 7 |
Tümü |
2 |
AEM Forms Sürümleri |
AEM 6.4 Service Pack 8 CFP 3 |
Tümü | 2 | AEM Forms Sürümleri |
Adobe Experience Manager'ın Cloud Service'ini kullanan müşteriler otomatik olarak güvenlik ve işlevsellik sorun giderme güncellemelerinin yanı sıra yeni özellik ekleyen güncellemeleri de alacaktır.
Adobe Experience Manager 6.5.7.0, 2019 Nisan ayında 6.5 sürümünün genel sürümünden bu yana çıkan yeni özellikler, müşteriler tarafından talep edilen anahtar geliştirmeler ve performans, stabilite ve güvenlik geliştirmelerini içeren önemli bir güncellemedir. Adobe Experience Manager 6.5'e ek olarak kurulabilir.
AEM Cumulative Fix Pack 6.4.8.3 AEM 6.4 Service Pack 8'in (6.4.8.0) 2020 Mart ayında genel sürümünden bu yana bir çok dahili ve müşteri çözümlerini içeren önemli bir güncellemedir. AEM Cumulative Fix Pack 6.4.8.3 AEM 6.4 Service Pack 8 gerektirir. Bu sebeple, AEM Cumulative Fix Pack 6.4.8.3 paketini AEM 6.4 Service Pack 8'i kurduktan sonra kurmalısınız.
AEM'in 6.3 ve 6.2 sürümleri ile ilgili yardım için lütfen Adobe müşteri hizmetleri ile irtibata geçin.
Güvenlik açığı detayları
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVE Numarası |
Etkilenen Sürümler |
---|---|---|---|---|
Kör sunucu tarafı istek sahtekarlığı |
Hassas Bilgi İfşası |
Önemli |
CVE-2020-24444 |
AEM 6.5.6.0 için AEM Forms SP6 eklentisi ve önceki sürümler AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2) ve daha önceki sürümler için AEM Forms eklenti paketi |
Çapraz site dizgeleme (saklanmış) |
Tarayıcıda gelişigüzel JavaScript çalıştırma |
Kritik |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler |
Bağlılık güncellemeleri
Bağlılık |
Güvenlik Açığı Etkisi |
Etkilenen Sürümler |
Apache Abdera |
Kaynak tüketimi |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Apache Batik |
Sunucu tarafı istek sahtekarlığı |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Apache Commons Compress |
Kaynak tüketimi |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Apache OpenNLP |
XML harici varlık (XXE) enjeksiyonu |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Apache Sling Scheduler Service |
XML harici varlık (XXE) enjeksiyonu |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Apache Xerces2 |
Kaynak tüketimi |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
CKEditor |
Tarayıcıda gelişigüzel JavaScript çalıştırma |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Eclipse Jetty |
Kaynak tüketimi |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Google-oauth-client |
Uygunsuz yetkilendirme |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Handlebars.js |
Prototip kirliliği |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Jackson Mapper |
XML harici varlık (XXE) enjeksiyonu |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
jQuery |
Tarayıcıda gelişigüzel JavaScript çalıştırma |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Spring Framework |
Dizinde dolaşma |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Zip4j |
Dizinde dolaşma |
AEM CS AEM 6.5.6.0 ve daha önceki sürümler AEM 6.4.8.2 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler |
Teşekkür
Adobe, müşterilerimizi korumak adına Adobe ile çalıştıkları için Storebrand Group, Norveç'ten (CVE-2020-24444) Frank Karlstrøm ve Kenny Jansson'a teşekkür eder.
Değişiklikler
13 Ocak 2021: CVE-2020-24445'in etkilediği sürümler listesinden 6.4.8.2 ve 6.3.3.8'lik AEM kaldırıldı.