Questo articolo tratta alcune vulnerabilità recenti e vecchie che sono state recentemente segnalate in AEM. Nota che la maggior parte delle vulnerabilità identificate erano problemi noti per il prodotto AEM e l’attenuazione è stata precedentemente identificata, è disponibile una nuova versione del dispatcher per le nuove vulnerabilità. L'Adobe esorta inoltre i clienti a completare la AEM lista di controllo della sicurezza e a seguire le linee guida pertinenti.
Problema | Risoluzione | Collegamenti |
---|---|---|
Salto delle regole del Dispatcher AEM | Installa la versione più recente di Dispatcher(4.3.1) e segui la configurazione consigliata del dispatcher. | Consulta AEM Note sulla versione di Dispatcher e Configurazione di Dispatcher. |
Vulnerabilità del filtro URL che potrebbe essere utilizzata per aggirare le regole del dispatcher - CVE-2016-0957 | Questo problema è stato risolto in una versione precedente di Dispatcher, ma ora si consiglia di installare la versione più recente di Dispatcher (4.3.1) e di seguire la configurazione consigliata di Dispatcher. | Consulta AEM Note sulla versione di Dispatcher e Configurazione di Dispatcher. |
Vulnerabilità XSS relativa ai file SWF memorizzati | Questo problema è stato risolto con correzioni di sicurezza rilasciate in precedenza. | Consultare il AEM Bollettino sulla sicurezza APSB18-10. |
Sfruttamenti relativi alle password | Segui le raccomandazioni in Lista di controllo sicurezza per password più forti. | Vedere AEM Lista di controllo protezione |
Esposizione all'utilizzo del disco per utenti anonimi | Questo problema è stato risolto per AEM 6.1 e versioni successive, perché AEM 6.0 le autorizzazioni predefinite possono essere modificate in modo da essere più restrittive. | Consulta le note sulla versioneper AEM 6.1 e versioni precedenti. |
Esposizione del proxy Open Social per utenti anonimi | Questo problema è stato risolto nelle versioni a partire dalla versione 6.0 SP2. | Consulta le note sulla versione per AEM 6.1 e versioni precedenti. |
Accesso a CRX Explorer sulle istanze di produzione | La gestione dell'accesso a CRX Explorer è già inclusa nella Lista di controllo sicurezza, CRX Explorer deve essere rimosso dall'autore di produzione e pubblicato e il controllo dello stato di sicurezza lo segnala se non rimosso. | Vedere AEM Lista di controllo protezione. |
BGServlets è esposto | Questo problema è stato risolto a partire dal AEM 6.2. | Consulta AEM Note sulla versione 6.2 |