Bülten No
Son güncelleme:
21 May 2021
Adobe Experience Manager için güvenlik güncellemeleri mevcut | APSB19-48
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB19-48 |
15 Ekim 2019 |
2 |
Özet
Adobe Adobe Experience Manager (AEM) için güvenlik güncellemeleri yayınlandı. Bu güncellemeler, AEM sürüm 6.3, 6.4 ve 6.5'teki çeşitli güvenlik açıklarını giderir. Başarılı bir sömürü, AEM ortamına yetkisiz erişime neden olabilir.
Etkilenen ürün sürümleri
|
Ürün |
Sürüm |
Platform |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:
Ürün |
Sürüm |
Platform |
Öncelik |
Bulunma Durumu |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
Tümü |
2 |
|
6.4 |
Tümü |
2 |
||
6.3 |
Tümü |
2 |
Eski AEM sürümlerine yönelik yardım için Adobe müşteri hizmetleri ile iletişime geçin.
Güvenlik açığı detayları
| Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVE Numarası |
Etkilenen Sürümler | Karşıdan Yükleme Paketi |
|---|---|---|---|---|---|
| Siteler Arası İstek Dolandırıcılığı | Hassas Bilgi ifşası | Önemli | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Yansıtılmış Çapraz Site Komut Dosyası | Hassas Bilgi ifşası
|
Orta Dereceli | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Saklanan Çapraz Site Komut Dosyası | Hassas Bilgi ifşası | Önemli | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Saklanan Çapraz Site Komut Dosyası | Ayrıcalığı Yükseltme | Önemli | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
Kimlik doğrulama bypass'ı
|
Hassas Bilgi ifşası | Önemli | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi |
| XML Harici Varlık Enjeksiyonu | Hassas Bilgi ifşası
|
Önemli | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| Siteler Arası Komut Dosyası | Hassas Bilgi ifşası
|
Orta Dereceli
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi |
| Yansıtılmış Çapraz Site Komut Dosyası | Hassas Bilgi ifşası
|
Orta Dereceli
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 – AEM-6.3.3.6 için Toplu Düzeltme Paketi |
Yansıtılmış Çapraz Site Komut Dosyası
|
Hassas Bilgi ifşası
|
Orta Dereceli
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 – AEM-6.3.3.6 için Toplu Düzeltme Paketi |
XML Harici Varlık Enjeksiyonu
|
Hassas Bilgi ifşası
|
Önemli
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi |
XML Harici Varlık Enjeksiyonu
|
Hassas Bilgi ifşası
|
Önemli
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi |
JavaScript Kod Enjeksiyonu
|
Rastgele Kod Yürütme
|
Kritik
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
6.3 SP3 – AEM-6.3.3.6için Toplu Düzeletme Paketi |
Not:
JavaScript kod yürütmesi (CVE-2019-8088) yalnızca 6.2 sürümünü etkilemektedir.6.3 sürümüyle başlamak üzere, katı bir şekilde havuzlanmış Rhino motoru JavaScript yürütmek için kullanılıyor. Bu, CVE-2019-8088 açığının Sunucu Tarafı İstek Sahtekarlığı (SSRF) saldırılarını ve hizmeti engelleme (DoS) saldırılarını saklama etkisini azaltıyor.
Not:
Not: Yukarıdaki tabloda listelenen paketler, listedeki güvenlik açıkları için minimum onarım paketleridir.En güncel versiyonlar için lütfen yukarıda referans verilen sürüm notları linklerine bakın.
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:
Lorenzo Pirondini (Netcentric, a Cognizant Digital Business) (CVE-2019-8078, CVE-2019-8079, CVE-2019-8080, CVE-2019-8083, CVE-2019-8084, CVE-2019-8085)
Pankaj Upadhyay, T. Rowe Price Associates, Inc. (https://pankajupadhyay.in) (CVE-2019-8081)
Mikhail Egorov @0ang3el (CVE-2019-8086, CVE-2019-8087, CVE-2019-8088)
Değişiklikler
15 Ekim 2019: CVE id CVE-2019-8077'den CVE-2019-8234'e güncellendi.
11 Mart 2020: JavaScript kod yürütmesinin (CVE-2019-8088) yalnızca AEM 6.2›yi etkilediğine dair bir açıklama notu eklendi.
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi