Бюллетень безопасности Adobe

Поиск

Последнее обновление 21 мая 2021 г.

Обновления безопасности для Adobe Experience Manager | APSB20-72

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB20-72	8 декабря 2020 г.	2

Сводка

Компания Adobe выпустила обновления для Adobe Experience Manager (AEM) и дополнительного пакета AEM Forms. В этих обновлениях устранены уязвимости, которые классифицируются как критические и важные.

Затрагиваемые версии продуктов

Продукт	Версия	Платформа
Adobe Experience Manager (AEM)	Облачная служба AEM (CS)	Все
	6.5.6.0 и более ранние версии	Все
	6.4.8.2 и более ранние версии	Все
	6.3.3.8 и более ранние версии	Все
	6.2 SP1-CFP20 и более ранние версии	Все
Дополнение для AEM Forms	Дополнительный пакет обновления AEM Forms 6 для AEM 6.5.6.0	Все
Дополнение для AEM Forms	Дополнительный пакет обновления 8 AEM Forms для AEM 6.4 с накопительным пакетом исправлений 2 (6.4.8.2)	Все

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:

Продукт	Версия	Платформа	Приоритет	Доступность
Adobe Experience Manager (AEM)	Облачная служба AEM (CS)	Все	2	Сведения о выпуске
	6.5.7.0	Все	2	Заметки о выпуске пакета обновления для AEM 6.5
	6.4.8.3	Все	2	Заметки о выпуске накопительного пакета исправлений для AEM 6.4
Дополнение для AEM Forms	AEM Forms с пакетом обновления 7	Все	2	Выпуски AEM Forms
Дополнение для AEM Forms	Накопительный пакет исправлений 3 для AEM 6.4 с пакетом обновления 8	Все	2	Выпуски AEM Forms

Примечание.

Пользователи облачной службы Adobe Experience Manager автоматически получат обновления, включающие новые функции, а также обновления системы безопасности и исправления ошибок в функциональности.

Примечание.

Adobe Experience Manager 6.5.7.0 — это важное обновление, которое содержит новые функции, основные улучшения, запрошенные заказчиками, а также улучшения в области производительности, стабильности и безопасности, которые были выпущены с момента появления общедоступной версии 6.5 в апреле 2019 г.Это обновление можно устанавливать поверх Adobe Experience Manager 6.5.

Примечание.

Накопительный пакет исправлений AEM 6.4.8.3 — это важное обновление, которое содержит несколько внутренних исправлений и исправлений по запросу заказчиков, которые были внесены с момента появления общедоступной версии AEM 6.4 с пакетом обновления 8 (6.4.8.0) в марте 2020 г. Для установки накопительного пакета исправлений AEM 6.4.8.3 требуется AEM 6.4 с пакетом обновления 8. Поэтому накопительный пакет исправлений AEM 6.4.8.3 необходимо устанавливать после установки AEM 6.4 с пакетом обновления 8.

Примечание.

Для получения помощи с AEM версий 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Номер CVE	Затронутые версии
Подделка запросов на сервере без ответа	Раскрытие конфиденциальной информации	Важная	CVE-2020-24444	Дополнительный пакет обновления AEM Forms 6 для AEM 6.5.6.0 и более ранних версий Дополнительный пакет обновления 8 AEM Forms для AEM 6.4 с накопительным пакетом исправлений 2 (6.4.8.2) или более ранних версий
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Критическая	CVE-2020-24445	AEM CS AEM 6.5.6.0 и более ранние версии

Обновления для зависимостей

Зависимость	Влияние уязвимости	Затронутые версии
Apache Abdera	Потребление ресурсов	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Apache Batik	Подделка запросов на сервере	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Apache Commons Compress	Потребление ресурсов	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Apache OpenNLP	Вставка внешнего элемента (XXE) XML	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Apache Sling Scheduler Service	Вставка внешнего элемента (XXE) XML	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Apache Xerces2	Потребление ресурсов	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
CKEditor	Выполнение произвольного сценария JavaScript в браузере	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Eclipse Jetty	Потребление ресурсов	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Клиент Google-oauth	Неверная авторизация	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Handlebars.js	Засорение прототипов	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Jackson Mapper	Вставка внешнего элемента (XXE) XML	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
jQuery	Выполнение произвольного сценария JavaScript в браузере	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Spring Framework	Обход каталога	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии
Zip4j	Обход каталога	AEM CS AEM 6.5.6.0 и более ранние версии AEM 6.4.8.2 и более ранние версии AEM 6.3.3.8 и более ранние версии

Благодарности

Компания Adobe приносит благодарность Франку Карлстрёму и Кенни Дженссону из Storebrand Group, Норвегия (CVE-2020-24444) за помощь Adobe в обеспечении защиты наших клиентов.    