Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
Обновления безопасности для Adobe Experience Manager | APSB19-48
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB19-48 |
15 октября 2019 г. |
2 |
Сводка
Компания Adobe выпустила обновления безопасности для Adobe Experience Manager (AEM). Эти обновления позволяют устранить несколько уязвимостей в AEM версий 6.3, 6.4 и 6.5. Успешное использование могло привести к несанкционированному доступу к среде AEM.
Затрагиваемые версии продуктов
|
Продукт |
Версия |
Платформа |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Все |
Решение
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:
Продукт |
Версия |
Платформа |
Приоритет |
Доступность |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Все |
2 |
|
6.4 |
Все |
2 |
||
6.3 |
Все |
2 |
Для получения помощи с более ранними версиями AEM обратитесь в отдел обслуживания клиентов компании Adobe.
Сведения об уязвимости
| Категория уязвимости |
Влияние уязвимости |
Серьезность |
Номер CVE |
Затронутые версии | Загрузить пакет |
|---|---|---|---|---|---|
| Подделка межсайтовых запросов | Раскрытие конфиденциальной информации | Важная | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
| Отраженные межсайтовые сценарии | Раскрытие конфиденциальной информации
|
Средняя | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
| Сохраненные межсайтовые сценарии | Раскрытие конфиденциальной информации | Важная | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
| Сохраненные межсайтовые сценарии | Повышение уровня полномочий | Важная | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
Обход проверки подлинности
|
Раскрытие конфиденциальной информации | Важная | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
| Вставка внешнего элемента XML | Раскрытие конфиденциальной информации
|
Важная | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
| Межсайтовые сценарии | Раскрытие конфиденциальной информации
|
Средняя
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
| Отраженные межсайтовые сценарии | Раскрытие конфиденциальной информации
|
Средняя
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
Отраженные межсайтовые сценарии
|
Раскрытие конфиденциальной информации
|
Средняя
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
Вставка внешнего элемента XML
|
Раскрытие конфиденциальной информации
|
Важная
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
Вставка внешнего элемента XML
|
Раскрытие конфиденциальной информации
|
Важная
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
Вставка кода JavaScript
|
Выполнение произвольного кода
|
Критическая
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
Кумулятивный пакет исправлений для версии 6.3 с пакетом обновлений SP3 – AEM-6.3.3.6 |
Примечание.
Уязвимость, связанная с выполнением кода JavaScript (CVE-2019-8088), затрагивает только версию 6.2. Начиная с версии 6.3, для выполнения JavaScript используется полностью изолированная система Rhino, что уменьшает влияние уязвимости CVE-2019-8088 на сокрытие атак, связанных с подделкой запросов на стороне сервера (SSRF) и отказом в обслуживании (DoS).
Примечание.
Примечание. Пакеты, перечисленные в таблице выше, являются минимальными пакетами исправлений для устранения перечисленных уязвимостей.Для новейших версий см. ссылки на заметки о выпуске, приведенные выше.
Благодарности
Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
Лоренцо Пирондини (Netcentric, a Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Панкаой Упадзьяя, T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Михаил Егоров @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Редакции
15 октября 2019 г.: обновлен идентификатор CVE с CVE-2019-8077 по CVE-2019-8234.
11 марта 2020 г.: добавлено примечание, поясняющее, что выполнение кода JavaScript (CVE-2019-8088) затрагивает только версию AEM 6.2.