Adobe Güvenlik Bülteni

Ara

Son güncelleme: 21 May 2021

Adobe Experience Manager için güvenlik güncellemeleri mevcut | APSB20-56

Bülten No	Yayınlandığı Tarih	Öncelik
APSB20-56	8 Eylül 2020	2

Özet

Adobe, Adobe Experience Manager (AEM) ve AEM Forms eklenti paketi için güncellemeler yayınlamıştır. Bu güncellemeler Kritik ve Önemli güvenlik açıklıklarını giderir.Bu açıkların başarıyla kullanılması tarayıcıda rastgele JavaScript yürütmeleri ile sonuçlanabilir.

Etkilenen ürün sürümleri

Ürün	Sürüm	Platform
Adobe Experience Manager	6.5.5.0 ve önceki sürümler	Tümü
	6.4.8.1 ve önceki sürümler	Tümü
	6.3.3.8 ve önceki sürümler	Tümü
	6.2 SP1-CFP20 ve önceki sürümler	Tümü
AEM Forms eklentisi	AEM Forms Service Pack 5 ve önceki sürümler	Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün	Sürüm	Platform	Öncelik	Bulunma Durumu
Adobe Experience Manager (AEM)	6.5.6.0	Tümü	2	AEM 6.5 Service Pack Sürüm Notları
6.4.8.2	Tümü	2	AEM 6.4 Cumulative Fix Pack Sürüm Notları
AEM Forms eklentisi	AEM Forms Service Pack 6	Tümü	2	AEM Forms Sürümleri

Ürün

Sürüm

Platform

Öncelik

Bulunma Durumu

Adobe Experience Manager (AEM)

6.5.6.0

Tümü

AEM 6.5 Service Pack Sürüm Notları

6.4.8.2

Tümü

AEM 6.4 Cumulative Fix Pack Sürüm Notları

AEM Forms eklentisi

AEM Forms Service Pack 6

Tümü

AEM Forms Sürümleri

Not:

Adobe Experience Manager 6.5.6.0, 2019 Nisan ayında 6.5 sürümünün genel sürümünden bu yana çıkan yeni özellikler, müşteriler tarafından talep edilen anahtar geliştirmeler ve performans, stabilite ve güvenlik geliştirmelerini içeren önemli bir güncellemedir. Adobe Experience Manager 6.5'e ek olarak kurulabilir.

Not:

AEM Cumulative Fix Pack 6.4.8.2 AEM 6.4 Service Pack 8'in (6.4.8.0) 2020 Mart ayında genel sürümünden bu yana bir çok dahili ve müşteri çözümlerini içeren önemli bir güncellemedir. AEM Cumulative Fix Pack 6.4.8.2 AEM 6.4 Service Pack 8 gerektirir. Bu sebeple, AEM Cumulative Fix Pack 6.4.8.2 paketini AEM 6.4 Service Pack 8'i kurduktan sonra kurmalısınız.

Not:

AEM'in 6.3 ve 6.2 sürümleri ile ilgili yardım için lütfen Adobe müşteri hizmetleri ile irtibata geçin.

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi	Güvenlik Açığı Etkisi	Önem Derecesi	CVE Numarası	Etkilenen Sürümler
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Kritik	CVE-2020-9732	AEM Forms SP5 ve daha önceki sürümler
Gerekmeyen Haklar ile Yürütme	Hassas Bilgi İfşası	Önemli	CVE-2020-9733	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Kritik	CVE-2020-9734	AEM Forms SP5 ve öncesi
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Önemli	CVE-2020-9735	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Önemli	CVE-2020-9736	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Önemli	CVE-2020-9737	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Önemli	CVE-2020-9738	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Kritik	CVE-2020-9740	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Çapraz site dizgeleme (saklanmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Kritik	CVE-2020-9741	AEM Forms SP5 ve daha önceki sürümler
Çapraz site dizgeleme (yansıtılmış)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Kritik	CVE-2020-9742	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler
HTML enjeksiyonu	Tarayıcıda gelişigüzel HTML enjeksiyonu	Önemli	CVE-2020-9743	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler

Bağlılık güncellemeleri

Bağlılık	Güvenlik Açığı Etkisi	Etkilenen Sürümler
Handlebars.js	Tarayıcıda gelişigüzel JavaScript çalıştırma	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Lodash.js (AEM'den kaldırıldı)	Prototip kirliliği	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Log4j	Güvenilmeyen verilerin seri durumundan çıkarılması	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler
Dom4j	XXE (Xml eXternal Varlık) enjeksiyonu	AEM 6.5.5.0 ve daha önceki sürümler AEM 6.4.8.1 ve daha önceki sürümler AEM 6.3.3.8 ve daha önceki sürümler AEM 6.2 SP1-CFP20 ve daha önceki sürümler