Bülten No
Son güncelleme:
25 Eyl 2023
Adobe Experience Manager için güvenlik güncellemeleri mevcut | APSB23-31
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB23-31 |
13 Haziran 2023 |
3 |
Özet
Adobe, Adobe Experience Manager (AEM) için güncellemeler yayınladı. Bu güncellemeler, üçüncü taraf bağımlılıkları da dahil olmak üzere Adobe Experience Manager'daki önemli ve orta dereceli güvenlik açıklarını giderir. Bu güvenlik açıklarından başarıyla yararlanılması, rastgele kod yürütülmesine, hizmet reddine ve güvenlik özelliğinin atlanmasına neden olabilir.
Etkilenen ürün sürümleri
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Tümü |
| 6.5.16.0 ve önceki sürümler |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:
Ürün |
Sürüm |
Platform |
Öncelik |
Bulunma Durumu |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service Sürüm 2023.4 |
Tümü | 3 | Sürüm Notları |
| 6.5.17.0 | Tümü |
3 |
AEM 6.5 Service Pack Sürüm Notları |
Not:
Adobe Experience Manager'ın Cloud Service'ini kullanan müşteriler otomatik olarak güvenlik ve işlevsellik sorun giderme güncellemelerinin yanı sıra yeni özellik ekleyen güncellemeleri de alacaktır.
Not:
Experience Manager Güvenlik Hususları:
AEM as a Cloud Service Güvenlik Hususları
Anonim İzin Güçlendirme Paketi
Not:
AEM'in 6.4, 6.3 ve 6.2 sürümleri ile ilgili yardım için lütfen Adobe müşteri hizmetleri ile irtibata geçin.
Güvenlik Açığı Detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numarası |
|
|---|---|---|---|---|---|
|
Cross-site Scripting (Reflected XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29304 |
|
Güvenilmeyen Siteye URL Yönlendirmesi ('Yönlendirmeyi Aç') (CWE-601) |
Güvenlik özelliği atlatması |
Orta Dereceli |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2023-29307 |
|
Cross-site Scripting (Reflected XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29322 |
|
Cross-site Scripting (Reflected XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29302 |
Bağlılık güncellemeleri
| CVE | Bağlılık |
Güvenlik Açığı Etkisi |
Etkilenen Sürümler |
| CVE-2023-26513 |
Apache Sling |
Hizmetin Reddi |
AEM CS AEM 6.5.16.0 ve daha önceki sürümler |
| CVE-2022-26336 |
Apache POI |
Hizmetin Reddi |
AEM CS AEM 6.5.16.0 ve daha önceki sürümler |
Not:
Bir müşteri, Apache httpd'yi bir proxy'de varsayılan olmayan bir yapılandırmayla kullanıyorsa, aşağıdakilerden etkilenebilir: CVE-2023-25690 - Lütfen buradan daha fazlasını okuyun: https://httpd.apache.org/security/vulnerabilities_24.html
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Jim Green (green-jam) -- CVE-2023-29304, CVE-2023-29302
- Osama Yousef (osamayousef) -- CVE-2023-29307
- Lorenzo Pirondini -- CVE-2023-29322
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Değişiklikler
19 Eylül 2023 - Bağımlılıklar güncellendi
11 Temmuz 2023 - Bağımlılıklar için güncellemeler revize edildi.
15 Haziran 2023 - Araştırmacı 'lpi', 'Lorenzo Pirondini' olarak değiştirildi.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi