Notifica di sicurezza AEM (novembre 2018)

Questo articolo tratta alcune vulnerabilità vecchie e recenti che sono state recentemente segnalate nell’AEM. Tieni presente che la maggior parte delle vulnerabilità identificate erano problemi noti per il prodotto AEM e che la mitigazione è stata identificata in precedenza; per tali vulnerabilità è disponibile una nuova versione di Dispatcher. Adobe invita inoltre i clienti a completare il Elenco di controllo della sicurezza AEM e seguire le linee guida pertinenti.

Azione richiesta

  • Le distribuzioni AEM devono iniziare a utilizzare la versione più recente di Dispatcher.
  • Le regole di sicurezza del dispatcher devono essere applicate in base alla configurazione consigliata.
  • Il Elenco di controllo della sicurezza AEM devono essere completate per le implementazioni AEM.

Vulnerabilità e risoluzioni

Problema Risoluzione Collegamenti
Ignorare le regole del Dispatcher AEM Installa la versione più recente di Dispatcher (4.3.1) e segui la configurazione di Dispatcher consigliata. Consulta Note sulla versione di Dispatcher per l’AEM e Configurazione di Dispatcher.
Il filtro URL ignora la vulnerabilità che potrebbe essere utilizzata per aggirare le regole del dispatcher - CVE-2016-0957 Questo problema è stato risolto in una versione precedente di Dispatcher, ma ora è consigliabile installare la versione più recente di Dispatcher (4.3.1) e seguire la configurazione di Dispatcher consigliata. Consulta Note sulla versione di Dispatcher per l’AEM e Configurazione di Dispatcher.
Vulnerabilità XSS relativa ai file SWF archiviati Questo problema è stato risolto con correzioni di sicurezza rilasciate in precedenza. Consulta Bollettino sulla sicurezza dell’AEM APSB18-10.
Esplosioni correlate a password Seguire i consigli riportati nell'elenco di controllo della protezione per ottenere password più sicure. Consulta Elenco di controllo della sicurezza AEM
Esposizione all'utilizzo del disco per gli utenti anonimi Questo problema è stato risolto per AEM 6.1 e versioni successive. Per AEM 6.0 è possibile modificare le autorizzazioni predefinite per renderlo più restrittivo. Consulta note sulla versioneper AEM 6.1 e versioni successive.
Esposizione di Open Social Proxy per utenti anonimi Questo problema è stato risolto nelle versioni a partire da 6.0 SP2. Consulta note sulla versione per AEM 6.1 e versioni successive.
Accesso a CRX Explorer sulle istanze di produzione La gestione dell’accesso a CRX Explorer è già inclusa nell’elenco di controllo della sicurezza, CRX Explorer deve essere rimosso dall’istanza di authoring e pubblicazione di produzione e il controllo dello stato della sicurezza segnala tale rimozione se non la rimuove. Consulta Elenco di controllo della sicurezza AEM.
BGServlets è esposto Questo problema è stato risolto dopo l’AEM 6.2. Consulta Note sulla versione di AEM 6.2

In questa pagina