情報 ID
最終更新日 :
2021年4月28日
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB19-48
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB19-48 |
2019 年 10 月 15 日 |
2 |
要約
Adobe Experience Manager(AEM)を対象としたセキュリティアップデートが公開されました。これらのアップデートで、AEM バージョン 6.3、6.4 および 6.5 の複数の脆弱性が解決されます。悪用されると、AEM 環境への不正アクセスが発生する可能性があります。
対象の製品バージョン
|
製品名 |
バージョン |
プラットフォーム |
|---|---|---|
|
Adobe Experience Manager |
6.5 6.4 6.3 6.2 6.1 6.0 |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードをお勧めします。
製品名 |
バージョン |
プラットフォーム |
優先度 |
入手方法 |
|---|---|---|---|---|
Adobe Experience Manager |
6.5 |
すべて |
2 |
|
6.4 |
すべて |
2 |
||
6.3 |
すべて |
2 |
これ以前の AEM バージョンのサポートについては、アドビカスタマーケアにお問い合わせください。
脆弱性に関する詳細
| 脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
CVE 番号 |
対象のバージョン | ダウンロードパッケージ |
|---|---|---|---|---|---|
| クロスサイトリクエストフォージェリ | 機密情報漏えい | 重要 | CVE-2019-8234
|
AEM 6.2 AEM 6.3 AEM 6.4 |
|
| 反映されたクロスサイトスクリプティング | 機密情報漏えい
|
中度 | CVE-2019-8078 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| 保存れたクロスサイトスクリプティング | 機密情報漏えい | 重要 | CVE-2019-8079 | AEM 6.0 AEM 6.1 AEM 6.2 AEM 6.3 AEM 6.4 |
|
| 保存れたクロスサイトスクリプティング | 権限昇格 | 重要 | CVE-2019-8080
|
AEM 6.3 AEM 6.4 |
|
認証バイパス
|
機密情報漏えい | 重要 | CVE-2019-8081 | AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 に関する累積修正パック - AEM-6.3.3.6 |
| XML 外部エンティティインジェクション | 機密情報漏えい
|
重要 | CVE-2019-8082 | AEM 6.2 AEM 6.3 AEM 6.4 |
|
| クロスサイトスクリプティング | 機密情報漏えい
|
中度
|
CVE-2019-8083
|
AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 に関する累積修正パック - AEM-6.3.3.6 |
| 反映されたクロスサイトスクリプティング | 機密情報漏えい
|
中度
|
CVE-2019-8084
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 に関する累積修正パック - AEM-6.3.3.6 |
反映されたクロスサイトスクリプティング
|
機密情報漏えい
|
中度
|
CVE-2019-8085
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 に関する累積修正パック - AEM-6.3.3.6 |
XML 外部エンティティインジェクション
|
機密情報漏えい
|
重要
|
CVE-2019-8086
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
6.3 SP3 に関する累積修正パック - AEM-6.3.3.6 |
XML 外部エンティティインジェクション
|
機密情報漏えい
|
重要
|
CVE-2019-8087
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5 |
6.3 SP3 に関する累積修正パック - AEM-6.3.3.6 |
JavaScript コードインジェクション
|
任意のコード実行
|
クリティカル
|
CVE-2019-8088*
|
AEM 6.2 AEM 6.3 AEM 6.4 AEM 6.5
|
6.3 SP3 に関する累積修正パック - AEM-6.3.3.6 |
注意:
JavaScript コード実行(CVE-2019-8088)は、バージョン 6.2 にのみ影響します。6.3 以降、厳密にサンドボックス化された Rhino エンジンを使用して JavaScript を実行し、CVE-2019-8088 の 影響を SSRF (Server-Side Request Forgery)攻撃と DoS (denial-of-service)攻撃に軽減します。
注意:
注記:上記の表にリストするパッケージは、関連する脆弱性に対応する最小限の修正パックです。 最新バージョンについては、上記のリリースノートのリンクを参照してください。
謝辞
一連の問題をご報告いただき、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
Lorenzo Pirondini 氏(Netcentric、有名なデジタルビジネス)(CVE-2019-8078、CVE-2019-8079、CVE-2019-8080、CVE-2019-8083、CVE-2019-8084、CVE-2019-8085)
T. Rowe Price Associates, Inc. の Pankaj Upadhyay 氏(https://pankajupadhyay.in)(CVE-2019-8081)
Mikhail Egorov 氏 @0ang3el (CVE-2019-8086、CVE-2019-8087、CVE-2019-8088)
更新履歴
2019 年 10 月 15 日: CVE ID を CVE-2019-8077 から CVE-2019-8234 に更新しました。
2020 年 3 月 11 日:JavaScript コード実行(CVE-2019-8088)は AEM 6.2 にのみ影響することを明確にするメモを追加しました。
