Questo articolo tratta alcune vulnerabilità vecchie e recenti che sono state recentemente segnalate nell’AEM. Tieni presente che la maggior parte delle vulnerabilità identificate erano problemi noti per il prodotto AEM e che la mitigazione è stata identificata in precedenza; per tali vulnerabilità è disponibile una nuova versione di Dispatcher. Adobe invita inoltre i clienti a completare il Elenco di controllo della sicurezza AEM e seguire le linee guida pertinenti.
Problema | Risoluzione | Collegamenti |
---|---|---|
Ignorare le regole del Dispatcher AEM | Installa la versione più recente di Dispatcher (4.3.1) e segui la configurazione di Dispatcher consigliata. | Consulta Note sulla versione di Dispatcher per l’AEM e Configurazione di Dispatcher. |
Il filtro URL ignora la vulnerabilità che potrebbe essere utilizzata per aggirare le regole del dispatcher - CVE-2016-0957 | Questo problema è stato risolto in una versione precedente di Dispatcher, ma ora è consigliabile installare la versione più recente di Dispatcher (4.3.1) e seguire la configurazione di Dispatcher consigliata. | Consulta Note sulla versione di Dispatcher per l’AEM e Configurazione di Dispatcher. |
Vulnerabilità XSS relativa ai file SWF archiviati | Questo problema è stato risolto con correzioni di sicurezza rilasciate in precedenza. | Consulta Bollettino sulla sicurezza dell’AEM APSB18-10. |
Esplosioni correlate a password | Seguire i consigli riportati nell'elenco di controllo della protezione per ottenere password più sicure. | Consulta Elenco di controllo della sicurezza AEM |
Esposizione all'utilizzo del disco per gli utenti anonimi | Questo problema è stato risolto per AEM 6.1 e versioni successive. Per AEM 6.0 è possibile modificare le autorizzazioni predefinite per renderlo più restrittivo. | Consulta note sulla versioneper AEM 6.1 e versioni successive. |
Esposizione di Open Social Proxy per utenti anonimi | Questo problema è stato risolto nelle versioni a partire da 6.0 SP2. | Consulta note sulla versione per AEM 6.1 e versioni successive. |
Accesso a CRX Explorer sulle istanze di produzione | La gestione dell’accesso a CRX Explorer è già inclusa nell’elenco di controllo della sicurezza, CRX Explorer deve essere rimosso dall’istanza di authoring e pubblicazione di produzione e il controllo dello stato della sicurezza segnala tale rimozione se non la rimuove. | Consulta Elenco di controllo della sicurezza AEM. |
BGServlets è esposto | Questo problema è stato risolto dopo l’AEM 6.2. | Consulta Note sulla versione di AEM 6.2 |