Cet article traite de quelques vulnérabilités récentes et anciennes qui ont été récemment rapportées dans AEM. Notez que la plupart des vulnérabilités identifiées étaient des problèmes connus pour le produit AEM et l'atténuation ont été identifiés précédemment, une nouvelle version du répartiteur est disponible pour les nouvelles vulnérabilités. L'Adobe exhorte également les clients à remplir la Liste de vérification de sécurité AEM et à suivre les directives pertinentes.
Problème | Résolution | Liens |
---|---|---|
Contournement des règles du répartiteur AEM | Installez la dernière version de Dispatcher(4.3.1) et suivez la configuration recommandée pour le répartiteur. | Voir AEM Notes de mise à jour du répartiteur et Configuration du répartiteur. |
Vulnérabilité de contournement du filtre d’URL pouvant être utilisée pour contourner les règles du répartiteur - CVE-2016-0957 | Ce problème a été corrigé dans une ancienne version de Dispatcher, mais il est maintenant recommandé d'installer la dernière version de Dispatcher (4.3.1) et de suivre la configuration recommandée de Dispatcher. | Voir AEM Notes de mise à jour du répartiteur et Configuration du répartiteur. |
Vulnérabilité XSS liée aux fichiers SWF stockés | Ceci a été résolu avec des correctifs de sécurité publiés précédemment. | Consultez AEM Bulletin de sécurité APSB18-10. |
Exploits liés au mot de passe | Suivez les recommandations de la liste de contrôle de sécurité pour obtenir des mots de passe plus difficiles à deviner. | Voir AEM liste de contrôle de sécurité |
Exposition sur l'utilisation du disque pour les utilisateurs anonymes | Ce problème a été résolu pour AEM 6.1 et les versions ultérieures. Pour AEM 6.0, les autorisations prêtes à l’emploi peuvent être modifiées pour être plus restrictives. | Voir notes de mise à jourpour AEM version 6.1 et ultérieure. |
Exposition du proxy social ouvert pour les utilisateurs anonymes | Ceci a été résolu dans les versions à partir de la version 6.0 SP2. | Voir notes de mise à jour pour AEM version 6.1 et ultérieure. |
CRX Explorer Access sur les instances de production | La gestion de l’accès à CRX Explorer est déjà couverte dans la liste de contrôle de sécurité, CRX Explorer doit être supprimé de l’auteur et de la publication en production et le contrôle d’intégrité de la sécurité le signale s’il n’est pas supprimé. | Voir AEM liste de contrôle de sécurité. |
BGServlets est exposé | Cela a été résolu depuis AEM 6.2. | Voir Notes de mise à jour AEM 6.2 |