Notification de sécurité AEM (novembre 2018)

Résumé

Cet article traite de quelques vulnérabilités récentes et anciennes qui ont été récemment rapportées dans AEM. Notez que la plupart des vulnérabilités identifiées étaient des problèmes connus pour le produit AEM et l'atténuation ont été identifiés précédemment, une nouvelle version du répartiteur est disponible pour les nouvelles vulnérabilités. L'Adobe exhorte également les clients à remplir la Liste de vérification de sécurité AEM et à suivre les directives pertinentes.

Action requise

  • aem déploiements doivent début avec la dernière version du répartiteur.
  • Les règles de sécurité du répartiteur doivent être appliquées conformément à la configuration recommandée.
  • La liste de contrôle de sécurité AEM doit être complétée pour les déploiements AEM.

Vulnérabilités et résolutions

Problème Résolution Liens
Contournement des règles du répartiteur AEM Installez la dernière version de Dispatcher(4.3.1) et suivez la configuration recommandée pour le répartiteur. Voir AEM Notes de mise à jour du répartiteur et Configuration du répartiteur.
Vulnérabilité de contournement du filtre d’URL pouvant être utilisée pour contourner les règles du répartiteur - CVE-2016-0957 Ce problème a été corrigé dans une ancienne version de Dispatcher, mais il est maintenant recommandé d'installer la dernière version de Dispatcher (4.3.1) et de suivre la configuration recommandée de Dispatcher. Voir AEM Notes de mise à jour du répartiteur et Configuration du répartiteur.
Vulnérabilité XSS liée aux fichiers SWF stockés Ceci a été résolu avec des correctifs de sécurité publiés précédemment. Consultez AEM Bulletin de sécurité APSB18-10.
Exploits liés au mot de passe Suivez les recommandations de la liste de contrôle de sécurité pour obtenir des mots de passe plus difficiles à deviner. Voir AEM liste de contrôle de sécurité
Exposition sur l'utilisation du disque pour les utilisateurs anonymes Ce problème a été résolu pour AEM 6.1 et les versions ultérieures. Pour AEM 6.0, les autorisations prêtes à l’emploi peuvent être modifiées pour être plus restrictives. Voir notes de mise à jourpour AEM version 6.1 et ultérieure.
Exposition du proxy social ouvert pour les utilisateurs anonymes Ceci a été résolu dans les versions à partir de la version 6.0 SP2. Voir notes de mise à jour pour AEM version 6.1 et ultérieure.
CRX Explorer Access sur les instances de production La gestion de l’accès à CRX Explorer est déjà couverte dans la liste de contrôle de sécurité, CRX Explorer doit être supprimé de l’auteur et de la publication en production et le contrôle d’intégrité de la sécurité le signale s’il n’est pas supprimé. Voir AEM liste de contrôle de sécurité.
BGServlets est exposé Cela a été résolu depuis AEM 6.2. Voir Notes de mise à jour AEM 6.2

Sur cette page

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free