Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
Обновления безопасности для Adobe Experience Manager | APSB20-72
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB20-72 |
8 декабря 2020 г. |
2 |
Сводка
Компания Adobe выпустила обновления для Adobe Experience Manager (AEM) и дополнительного пакета AEM Forms. В этих обновлениях устранены уязвимости, которые классифицируются как критические и важные.
Затрагиваемые версии продуктов
| Продукт | Версия | Платформа |
|---|---|---|
Adobe Experience Manager (AEM) |
Облачная служба AEM (CS) |
Все |
| 6.5.6.0 и более ранние версии |
Все |
|
| 6.4.8.2 и более ранние версии |
Все |
|
| 6.3.3.8 и более ранние версии |
Все |
|
| 6.2 SP1-CFP20 и более ранние версии |
Все |
|
| Дополнение для AEM Forms |
Дополнительный пакет обновления AEM Forms 6 для AEM 6.5.6.0 |
Все |
| Дополнительный пакет обновления 8 AEM Forms для AEM 6.4 с накопительным пакетом исправлений 2 (6.4.8.2) |
Все |
Решение
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:
Продукт |
Версия |
Платформа |
Приоритет |
Доступность |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
Облачная служба AEM (CS) |
Все | 2 | Сведения о выпуске |
6.5.7.0 |
Все |
2 |
Заметки о выпуске пакета обновления для AEM 6.5 |
|
6.4.8.3 |
Все |
2 |
Заметки о выпуске накопительного пакета исправлений для AEM 6.4 |
|
Дополнение для AEM Forms |
AEM Forms с пакетом обновления 7 |
Все |
2 |
Выпуски AEM Forms |
| Накопительный пакет исправлений 3 для AEM 6.4 с пакетом обновления 8 |
Все | 2 | Выпуски AEM Forms |
Примечание.
Пользователи облачной службы Adobe Experience Manager автоматически получат обновления, включающие новые функции, а также обновления системы безопасности и исправления ошибок в функциональности.
Примечание.
Adobe Experience Manager 6.5.7.0 — это важное обновление, которое содержит новые функции, основные улучшения, запрошенные заказчиками, а также улучшения в области производительности, стабильности и безопасности, которые были выпущены с момента появления общедоступной версии 6.5 в апреле 2019 г.Это обновление можно устанавливать поверх Adobe Experience Manager 6.5.
Примечание.
Накопительный пакет исправлений AEM 6.4.8.3 — это важное обновление, которое содержит несколько внутренних исправлений и исправлений по запросу заказчиков, которые были внесены с момента появления общедоступной версии AEM 6.4 с пакетом обновления 8 (6.4.8.0) в марте 2020 г. Для установки накопительного пакета исправлений AEM 6.4.8.3 требуется AEM 6.4 с пакетом обновления 8. Поэтому накопительный пакет исправлений AEM 6.4.8.3 необходимо устанавливать после установки AEM 6.4 с пакетом обновления 8.
Примечание.
Для получения помощи с AEM версий 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Номер CVE |
Затронутые версии |
|---|---|---|---|---|
|
Подделка запросов на сервере без ответа |
Раскрытие конфиденциальной информации |
Важная |
CVE-2020-24444 |
Дополнительный пакет обновления AEM Forms 6 для AEM 6.5.6.0 и более ранних версий Дополнительный пакет обновления 8 AEM Forms для AEM 6.4 с накопительным пакетом исправлений 2 (6.4.8.2) или более ранних версий |
|
Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Критическая |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 и более ранние версии |
Обновления для зависимостей
| Зависимость |
Влияние уязвимости |
Затронутые версии |
| Apache Abdera |
Потребление ресурсов |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Batik |
Подделка запросов на сервере |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Commons Compress |
Потребление ресурсов |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache OpenNLP |
Вставка внешнего элемента (XXE) XML |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Sling Scheduler Service |
Вставка внешнего элемента (XXE) XML |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Xerces2 |
Потребление ресурсов |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| CKEditor |
Выполнение произвольного сценария JavaScript в браузере |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Eclipse Jetty |
Потребление ресурсов |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Клиент Google-oauth |
Неверная авторизация |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Handlebars.js |
Засорение прототипов |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Jackson Mapper |
Вставка внешнего элемента (XXE) XML |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| jQuery |
Выполнение произвольного сценария JavaScript в браузере |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Spring Framework |
Обход каталога |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Zip4j |
Обход каталога |
AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии |
Благодарности
Компания Adobe приносит благодарность Франку Карлстрёму и Кенни Дженссону из Storebrand Group, Норвегия (CVE-2020-24444) за помощь Adobe в обеспечении защиты наших клиентов.
Редакции
13 января 2021 г.: удалены AEM 6.4.8.2 и 6.3.3.8 из списка версий, которые затрагивает уязвимость CVE-2020-24445.