게시판 ID
마지막 업데이트 날짜
2021년 4월 29일
Adobe Experience Manager에 사용할 수 있는 보안 업데이트 | APSB20-72
|
|
게시 날짜 |
우선 순위 |
|---|---|---|
|
APSB20-72 |
2020년 12월 8일 |
2 |
요약
해당하는 제품 버전
| 제품 | 버전 | 플랫폼 |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM CS(Cloud Service) |
모두 |
| 6.5.6.0 및 이전 버전 |
모두 |
|
| 6.4.8.2 및 이전 버전 |
모두 |
|
| 6.3.3.8 및 이전 버전 |
모두 |
|
| 6.2 SP1-CFP20 및 이전 버전 |
모두 |
|
| AEM Forms 추가 기능 |
AEM 6.5.6.0용 AEM Forms 서비스 팩 6 추가 기능 패키지 |
모두 |
| AEM 6.4 서비스 팩 8용 AEM Forms 추가 기능 패키지 누적 수정 팩 2(6.4.8.2) |
모두 |
해결 방법
Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다:
제품 |
버전 |
플랫폼 |
우선 순위 |
사용 가능성 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM CS(Cloud Service) |
모두 | 2 | 릴리스 정보 |
6.5.7.0 |
모두 |
2 |
AEM 6.5 서비스 팩 릴리스 정보 |
|
6.4.8.3 |
모두 |
2 |
||
AEM Forms 추가 기능 |
AEM Forms 서비스 팩 7 |
모두 |
2 |
AEM Forms 릴리스 |
| AEM 6.4 서비스 팩 8 CFP 3 |
모두 | 2 | AEM Forms 릴리스 |
메모
Adobe Experience Manager의 Cloud Service를 실행하는 고객은 보안 및 기능 버그 수정 사항뿐만 아니라 새로운 기능이 포함된 업데이트를 자동으로 받게 됩니다.
메모
Adobe Experience Manager 6.5.7.0은 새로운 기능, 주요 고객이 요청한 개선 사항, 2019년 4월 6.5 릴리스의 일반 가용성 이후 릴리스된 성능, 안정성 및 보안 개선 사항을 포함하는 중요한 업데이트입니다. Adobe Experience Manager 6.5 위에 설치할 수 있습니다.
메모
AEM 누적 수정 팩 6.4.8.3는 2020년 3월 AEM 6.4 서비스 팩 8(6.4.8.0)의 일반 가용성 이후 여러 가지 내부 및 고객 수정 사항이 포함된 중요한 업데이트입니다. AEM 누적 수정 팩 6.4.8.3는 AEM 6.4 서비스 팩 8에 따라 다릅니다. 따라서 AEM 6.4 서비스 팩 8을 설치한 후 AEM 누적 수정 팩 6.4.8.3 패키지를 설치해야 합니다.
메모
AEM 버전 6.3 및 6.2에 대한 지원이 필요하면 Adobe 고객 지원 센터에 문의하십시오.
취약성 세부 정보
|
취약성 카테고리 |
취약성 영향 |
심각도 |
CVE 번호 |
해당하는 버전 |
|---|---|---|---|---|
|
서버 측 요청 위조 블라인드 |
민감한 정보 노출 |
중요 |
CVE-2020-24444 |
AEM 6.5.6.0용 AEM Forms SP6 추가 기능 및 이전 버전 AEM 6.4 서비스 팩 8용 AEM Forms 추가 기능 패키지 누적 수정 팩 2(6.4.8.2) 및 이전 버전 |
|
크로스 사이트 스크립팅(저장됨) |
브라우저에서 임의 JavaScript 실행 |
치명적 |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 및 이전 버전 |
종속성 업데이트
| 종속성 |
취약성 영향 |
해당하는 버전 |
| Apache Abdera |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Batik |
서버 측 요청 위조 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Commons Compress |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache OpenNLP |
XML 외부 엔티티(XXE) 삽입 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Sling 스케줄러 서비스 |
XML 외부 엔티티(XXE) 삽입 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Apache Xerces2 |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| CKEditor |
브라우저에서 임의 JavaScript 실행 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Eclipse Jetty |
리소스 사용량 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Google-oauth-client |
부적절한 권한 부여 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Handlebars.js |
프로토타입 오염 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Jackson Mapper |
XML 외부 엔티티(XXE) 삽입 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| jQuery |
브라우저에서 임의 JavaScript 실행 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Spring Framework |
디렉토리 접근 공격 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
| Zip4j |
디렉토리 접근 공격 |
AEM CS AEM 6.5.6.0 및 이전 버전 AEM 6.4.8.2 및 이전 버전 AEM 6.3.3.8 및 이전 버전 |
감사의 말
Adobe는 Adobe와 협력하여 고객 보호에 도움을 주신 노르웨이 Storebrand Group(CVE-2020-24444)의 Frank Karlstrøm과 Kenny Janson에게 감사의 말씀을 전합니다.
개정 버전
2021년 1월 13일: CVE-2020-24445의 영향을 받는 버전 목록에서 AEM 6.4.8.2 및 6.3.3.8을 제거했습니다.
