Notifica di sicurezza AEM (novembre 2018)

Questo articolo tratta alcune vulnerabilità recenti e vecchie che sono state recentemente segnalate in AEM. Nota che la maggior parte delle vulnerabilità identificate erano problemi noti per il prodotto AEM e l’attenuazione è stata precedentemente identificata, è disponibile una nuova versione del dispatcher per le nuove vulnerabilità. L'Adobe esorta inoltre i clienti a completare la AEM lista di controllo della sicurezza e a seguire le linee guida pertinenti.

Azione richiesta

  • AEM le distribuzioni devono iniziare a utilizzare la versione più recente di Dispatcher.
  • Le regole di sicurezza del dispatcher devono essere applicate in base alla configurazione consigliata.
  • La AEM Lista di controllo protezione deve essere completata per AEM distribuzioni.

Vulnerabilità e risoluzioni

Problema Risoluzione Collegamenti
Salto delle regole del Dispatcher AEM Installa la versione più recente di Dispatcher(4.3.1) e segui la configurazione consigliata del dispatcher. Consulta AEM Note sulla versione di Dispatcher e Configurazione di Dispatcher.
Vulnerabilità del filtro URL che potrebbe essere utilizzata per aggirare le regole del dispatcher - CVE-2016-0957 Questo problema è stato risolto in una versione precedente di Dispatcher, ma ora si consiglia di installare la versione più recente di Dispatcher (4.3.1) e di seguire la configurazione consigliata di Dispatcher. Consulta AEM Note sulla versione di Dispatcher e Configurazione di Dispatcher.
Vulnerabilità XSS relativa ai file SWF memorizzati Questo problema è stato risolto con correzioni di sicurezza rilasciate in precedenza. Consultare il AEM Bollettino sulla sicurezza APSB18-10.
Sfruttamenti relativi alle password Segui le raccomandazioni in Lista di controllo sicurezza per password più forti. Vedere AEM Lista di controllo protezione
Esposizione all'utilizzo del disco per utenti anonimi Questo problema è stato risolto per AEM 6.1 e versioni successive, perché AEM 6.0 le autorizzazioni predefinite possono essere modificate in modo da essere più restrittive. Consulta le note sulla versioneper AEM 6.1 e versioni precedenti.
Esposizione del proxy Open Social per utenti anonimi Questo problema è stato risolto nelle versioni a partire dalla versione 6.0 SP2. Consulta le note sulla versione per AEM 6.1 e versioni precedenti.
Accesso a CRX Explorer sulle istanze di produzione La gestione dell'accesso a CRX Explorer è già inclusa nella Lista di controllo sicurezza, CRX Explorer deve essere rimosso dall'autore di produzione e pubblicato e il controllo dello stato di sicurezza lo segnala se non rimosso. Vedere AEM Lista di controllo protezione.
BGServlets è esposto Questo problema è stato risolto a partire dal AEM 6.2. Consulta AEM Note sulla versione 6.2

In questa pagina