Идентификатор бюллетеня
Последнее обновление
10 сент. 2021 г.
Обновления безопасности для Adobe Experience Manager | APSB21-15
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB21-15 |
11 мая 2021 г. |
2 |
Сводка
Компания Adobe выпустила обновления для Adobe Experience Manager (AEM). В этих обновлениях устранены уязвимости, которые классифицируются как критические и важные. При успешном использовании эта уязвимость могла привести к выполнению произвольного сценария JavaScript в браузере.
Затрагиваемые версии продуктов
| Продукт | Версия | Платформа |
|---|---|---|
Adobe Experience Manager (AEM) |
Облачная служба AEM (CS) |
Все |
| 6.5.7.0 и более ранние версии |
Все |
|
| 6.4.8.3 и более ранние версии |
Все |
|
| 6.3.3.8 и более ранние версии |
Все |
Решение
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:
Продукт |
Версия |
Платформа |
Приоритет |
Доступность |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
Облачная служба AEM (CS) |
Все | 2 | Сведения о выпуске |
6.5.8.0 |
Все |
2 |
Заметки о выпуске пакета обновления для AEM 6.5 | |
6.4.8.4 |
Все |
2 |
Заметки о выпуске накопительного пакета исправлений для AEM 6.4 |
Примечание.
Пользователи облачной службы Adobe Experience Manager автоматически получат обновления, включающие новые функции, а также обновления системы безопасности и исправления ошибок в функциональности.
Примечание.
Накопительный пакет исправлений AEM 6.4.8.4 — это важное обновление, которое содержит несколько внутренних исправлений и исправлений по запросу заказчиков, которые были внесены с момента появления общедоступной версии AEM 6.4 с пакетом обновления 8 (6.4.8.0) в марте 2020 г.
Примечание.
Для получения помощи с AEM версий 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Номер CVE |
Затронутые версии |
|---|---|---|---|---|
|
Несоответствующий контроль доступа |
Отказ в обслуживании приложения |
Важная |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
|
Межсайтовый скриптинг (сохраненный) |
Выполнение произвольного сценария JavaScript в браузере |
Критическая |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
Обновления для зависимостей
| Зависимость |
Влияние уязвимости |
Затронутые версии |
| Commons-io |
Несоответствующий контроль доступа |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| MetadataExtractor |
Неконтролируемое потребление ресурсов |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| FasterXML Jackson Databind/Core |
Удаленное выполнение кода |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Eclipse Jetty |
Несоответствующий контроль доступа |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Lucene Queryparser |
Удаленное выполнение кода |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache XML-RPC |
Выполнение произвольного кода |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Zip4j |
Выполнение произвольного кода |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Directory LDAP API |
Несоответствующий контроль доступа | AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Sling |
Несоответствующий контроль доступа | AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Felix |
Выполнение произвольного кода |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Solr |
Неправильный доступ для чтения/записи |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| Apache Tomcat |
Несоответствующий контроль доступа |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
| jQuery |
Выполнение произвольного кода |
AEM CS AEM 6.5.7.0 и более ранние версии AEM 6.4.8.3 и более ранние версии AEM 6.3.3.8 и более ранние версии |
Благодарности
Компания Adobe выражает благодарность Томасу Хартманну из компании netcentric (CVE-2021-21083) за сообщение об этих проблемах и помощь Adobe в обеспечении защиты наших клиентов.