情報 ID
最終更新日 :
2021年4月28日
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-72
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB20-72 |
2020 年 12 月 8 日 |
2 |
要約
対象の製品バージョン
| 製品名 | バージョン | プラットフォーム |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
すべて |
| 6.5.6.0 以前のバージョン |
すべて |
|
| 6.4.8.2 以前のバージョン |
すべて |
|
| 6.3.3.8 とそれ以前のバージョン |
すべて |
|
| 6.2 SP1-CFP20 以前のバージョン |
すべて |
|
| AEM Forms アドオン |
AEM 6.5.6.0 用の AEM Forms Service Pack 6 アドオンパッケージ |
すべて |
| AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)用の AEM Forms アドオンパッケージ |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価で分類し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
製品名 |
バージョン |
プラットフォーム |
優先度 |
入手方法 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
すべて | 2 | リリースノート |
6.5.7.0 |
すべて |
2 |
AEM 6.5 Service Pack リリースノート |
|
6.4.8.3 |
すべて |
2 |
||
AEM Forms アドオン |
AEM Forms Service Pack 7 |
すべて |
2 |
AEM Forms リリース |
| AEM 6.4 Service Pack 8 CFP 3 |
すべて | 2 | AEM Forms リリース |
注意:
Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。
注意:
Adobe Experience Manager 6.5.7.0 は、2019 年 4 月の 6.5 リリースの一般提供開始以降にリリースされた新機能、お客様から要望の多かった主要な機能強化、パフォーマンス、安定性、セキュリティの改善を含む重要なアップデートです。 Adobe Experience Manager 6.5 の上にインストールできます。
注意:
AEM Cumulative Fix Pack 6.4.8.3 は、2020 年 3 月に AEM 6.4 Service Pack 8 (6.4.8.0)が一般に公開されて以来の社内およびお客様向けの複数の修正を含む重要なアップデートです。AEM Cumulative Fix Pack 6.4.8.3 は、AEM 6.4 Service Pack 8 に依存します。 したがって、AEM 6.4 Service Pack 8 をインストール後に、AEM Cumulative Fix Pack 6.4.8.3 パッケージをインストールしてください。
注意:
AEM バージョン 6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。
脆弱性に関する詳細
|
脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
CVE 番号 |
対象のバージョン |
|---|---|---|---|---|
|
ブラインドサーバー側リクエスト偽造 |
機密情報漏えい |
重要 |
CVE-2020-24444 |
AEM 6.5.6.0 用の AEM Forms SP6 アドオン 以前 AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2)以前のバージョン用の AEM Forms アドオンパッケージ |
|
クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
クリティカル |
CVE-2020-24445 |
AEM CS AEM 6.5.6.0 以前 |
依存関係の更新
| 依存性 |
脆弱性の影響 |
対象のバージョン |
| Apache Abdera |
リソース消費 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Apache Batik |
サーバー側リクエスト偽造 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Apache Commons Compress |
リソース消費 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Apache OpenNLP |
XML 外部エンティティ(XXE)インジェクション |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Apache Sling Scheduler Service |
XML 外部エンティティ(XXE)インジェクション |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Apache Xerces2 |
リソース消費 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| CKEditor |
ブラウザーでの任意の JavaScript 実行 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Eclipse Jetty |
リソース消費 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Google-oauth-client |
不適切な認証 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Handlebars.js |
プロトタイプ汚染 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Jackson Mapper |
XML 外部エンティティ(XXE)インジェクション |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| jQuery |
ブラウザーでの任意の JavaScript 実行 |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Spring Framework |
ディレクトリトラバーサル |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
| Zip4j |
ディレクトリトラバーサル |
AEM CS AEM 6.5.6.0 以前 AEM 6.4.8.2 以前 AEM 6.3.3.8 以前 |
謝辞
ノルウェーの Storebrand Group の Frank Karlstrøm 氏および Kenny Jansson 氏(CVE-2020-24444)に対し、アドビより厚く御礼を申し上げます。
更新履歴
2021年 1月13日:CVE-2020-24445 の影響を受けるバージョンのリストから AEM 6.4.8.2 および 6.3.3.8 を削除しました。
