情報 ID
最終更新日 :
2021年9月10日
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-15
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB21-15 |
2021年5月11日 |
2 |
要約
対象の製品バージョン
| 製品名 | バージョン | プラットフォーム |
|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
すべて |
| 6.5.7.0 とそれ以前のバージョン |
すべて |
|
| 6.4.8.3 とそれ以前のバージョン |
すべて |
|
| 6.3.3.8 とそれ以前のバージョン |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
製品名 |
バージョン |
プラットフォーム |
優先度 |
入手方法 |
|---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
すべて | 2 | リリースノート |
6.5.8.0 |
すべて |
2 |
AEM 6.5 Service Pack リリースノート | |
6.4.8.4 |
すべて |
2 |
注意:
Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。
注意:
AEM Cumulative Fix Pack 6.4.8.4 は、2020 年 3 月に AEM 6.4 Service Pack 8 (6.4.8.0)が一般に公開されて以来の社内およびお客様向けの複数の修正を含む重要なアップデートです。
注意:
AEM バージョン 6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。
脆弱性に関する詳細
|
脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
CVE 番号 |
対象のバージョン |
|---|---|---|---|---|
|
不正なアクセス制御 |
アプリケーションのサービス拒否 |
重要 |
CVE-2021-21083 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
|
クロスサイトスクリプティング(保存) |
ブラウザーでの任意の JavaScript 実行 |
クリティカル |
CVE-2021-21084 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
依存関係の更新
| 依存関係 |
脆弱性の影響 |
対象のバージョン |
| Commons-io |
不正なアクセス制御 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| MetadataExtractor |
管理されていないリソース消費 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| FasterXML Jackson Databind/Core |
リモートコード実行 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Eclipse Jetty |
不正なアクセス制御 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Lucene Queryparser |
リモートコード実行 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Apache XML-RPC |
任意のコード実行 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Zip4j |
任意のコード実行 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Apache Directory LDAP API |
不正なアクセス制御 | AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Apache Sling |
不正なアクセス制御 | AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Apache Felix |
任意のコード実行 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Apache Solr |
不正な読み取り/書き取りアクセス |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| Apache Tomcat |
不正なアクセス制御 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
| jQuery |
任意のコード実行 |
AEM CS AEM 6.5.7.0 以前 AEM 6.4.8.3 以前 AEM 6.3.3.8 以前 |
謝辞
これら両方の問題を指摘し、ユーザーの保護にご協力いただいた netcentric (CVE-2021-21083)の Thomas Hartmann 氏に対し、アドビより厚く御礼を申し上げます。
