Cet article traite de quelques vulnérabilités récentes et anciennes qui ont été récemment rapportées dans AEM. Notez que la plupart des vulnérabilités identifiées étaient des problèmes connus pour le produit AEM et l'atténuation ont été identifiés précédemment, une nouvelle version du répartiteur est disponible pour les nouvelles vulnérabilités. L'Adobe exhorte également les clients à remplir la Liste de vérification de sécurité AEM et à suivre les directives pertinentes.
Action requise
aem déploiements doivent début avec la dernière version du répartiteur.
Les règles de sécurité du répartiteur doivent être appliquées conformément à la configuration recommandée.
Vulnérabilité de contournement du filtre d’URL pouvant être utilisée pour contourner les règles du répartiteur - CVE-2016-0957
Ce problème a été corrigé dans une ancienne version de Dispatcher, mais il est maintenant recommandé d'installer la dernière version de Dispatcher (4.3.1) et de suivre la configuration recommandée de Dispatcher.
Exposition sur l'utilisation du disque pour les utilisateurs anonymes
Ce problème a été résolu pour AEM 6.1 et les versions ultérieures. Pour AEM 6.0, les autorisations prêtes à l’emploi peuvent être modifiées pour être plus restrictives.
CRX Explorer Access sur les instances de production
La gestion de l’accès à CRX Explorer est déjà couverte dans la liste de contrôle de sécurité, CRX Explorer doit être supprimé de l’auteur et de la publication en production et le contrôle d’intégrité de la sécurité le signale s’il n’est pas supprimé.
