AEM Sicherheitsbenachrichtigung (November 2018)

Zusammenfassung

In diesem Artikel werden einige Schwachstellen behandelt, die kürzlich in AEM gemeldet wurden. Beachten Sie, dass die am meisten identifizierten Sicherheitslücken bekannte Probleme für das AEM-Produkt waren und bereits erkannt wurden. Für die neuen Schwachstellen ist eine neue Dispatcher-Version verfügbar. Adobe fordert Kunden außerdem nachdrücklich auf, die AEM Sicherheitscheckliste auszuführen und die entsprechenden Richtlinien zu befolgen.

Aktion erforderlich

  • AEM -Implementierungen sollten mit der Verwendung der neuesten Dispatcher-Version beginnen.
  • Die Dispatcher-Sicherheitsregeln müssen gemäß der empfohlenen Konfiguration angewendet werden.
  • Die AEM Sicherheitscheckliste sollte für AEM -Bereitstellungen ausgefüllt werden.

Schwachstellen und Lösungen

Problem Auflösung Links
Umgehen AEM Dispatcher-Regeln Installieren Sie die neueste Version des Dispatchers (4.3.1) und befolgen Sie die empfohlene Dispatcher-Konfiguration. Siehe AEM Versionshinweise zu Dispatcher und Konfigurieren des Dispatchers.
URL-Filter umgehen Sicherheitslücke, die zur Umgehung von Dispatcher-Regeln verwendet werden könnte - CVE-2016-0957 Dies wurde in einer älteren Version des Dispatchers behoben. Jetzt wird jedoch empfohlen, die neueste Version des Dispatchers (4.3.1) zu installieren und die empfohlene Dispatcher-Konfiguration zu befolgen. Siehe AEM Versionshinweise zu Dispatcher und Konfigurieren des Dispatchers.
XSS-Verwundbarkeit im Zusammenhang mit gespeicherten SWF-Dateien Dies wurde mit Sicherheitskorrekturen behoben, die zuvor veröffentlicht wurden. Siehe AEM Sicherheitsbulletin APSB18-10.
Kennwortbezogene Exploits Befolgen Sie die Empfehlungen in der Sicherheitscheckliste für bessere Passwörter. Siehe AEM Sicherheitscheckliste
Festplattenauslastung anonymer Benutzer Dieses Problem wurde für AEM 6.1 und höher behoben. Für AEM 6.0 können die nativen Berechtigungen geändert werden, um sie restriktiver zu gestalten. Siehe Versionshinweisefür AEM 6.1 und älter.
Exposition von Open Social Proxy für anonyme Benutzer Dies wurde in Versionen ab 6.0 SP2 behoben. Siehe Versionshinweise für AEM 6.1 und älter.
CRX Explorer Zugriff auf Produktionsinstanzen Die Verwaltung des Zugriffs auf den CRX Explorer ist bereits in der Sicherheitscheckliste behandelt. Der CRX Explorer sollte aus der Produktionsautor- und -Veröffentlichungsinstanz entfernt werden und die Sicherheits-Konsistenzprüfung meldet dies, wenn er nicht entfernt wurde. Siehe AEM Sicherheitscheckliste.
BGServlets wird verfügbar gemacht Dies wurde seit AEM 6.2 behoben. Siehe AEM 6.2 Versionshinweise

Auf dieser Seite