Notifica di sicurezza AEM (novembre 2018)

Questo articolo tratta alcune vulnerabilità recenti e vecchie che sono state recentemente segnalate in AEM. Nota che la maggior parte delle vulnerabilità identificate erano problemi noti per il prodotto AEM e che la mitigazione era stata precedentemente identificata, è disponibile una nuova versione del dispatcher per le nuove vulnerabilità. Adobe invita inoltre i clienti a completare la Lista di controllo AEM per la sicurezza e a seguire le linee guida pertinenti.

Azione richiesta

  • Le implementazioni di AEM devono iniziare a utilizzare la versione più recente di Dispatcher.
  • Le regole di sicurezza del dispatcher devono essere applicate in base alla configurazione consigliata.
  • La Lista di controllo della sicurezza AEM deve essere completata per le implementazioni AEM.

Vulnerabilità e risoluzioni

Problema Risoluzione Collegamenti
Salto delle regole di AEM Dispatcher Installa la versione più recente di Dispatcher(4.3.1) e segui la configurazione consigliata del dispatcher. Consulta Note sulla versione di AEM Dispatcher e Configurazione di Dispatcher.
Vulnerabilità del filtro URL che potrebbe essere utilizzata per aggirare le regole del dispatcher - CVE-2016-0957 Questo problema è stato risolto in una versione precedente di Dispatcher, ma ora si consiglia di installare la versione più recente di Dispatcher (4.3.1) e di seguire la configurazione consigliata di Dispatcher. Consulta Note sulla versione di AEM Dispatcher e Configurazione di Dispatcher.
Vulnerabilità XSS relativa ai file SWF memorizzati Questo problema è stato risolto con correzioni di sicurezza rilasciate in precedenza. Consulta il Bollettino sulla sicurezza AEM APSB18-10.
Sfruttamenti relativi alle password Segui le raccomandazioni in Lista di controllo sicurezza per password più forti. Consulta Elenco di controllo per la sicurezza AEM
Esposizione all'utilizzo del disco per utenti anonimi Questo problema è stato risolto per AEM 6.1 e versioni successive; per AEM 6.0 le autorizzazioni predefinite possono essere modificate in modo da essere più restrittive. Consulta le note sulla versioneper AEM 6.1 e versioni precedenti.
Esposizione del proxy Open Social per utenti anonimi Questo problema è stato risolto nelle versioni a partire dalla versione 6.0 SP2. Consulta le note sulla versione per AEM 6.1 e versioni precedenti.
Accesso a CRX Explorer sulle istanze di produzione La gestione dell'accesso a CRX Explorer è già inclusa nella Lista di controllo sicurezza, CRX Explorer deve essere rimosso dall'autore di produzione e pubblicato e il controllo dello stato di sicurezza lo segnala se non rimosso. Consulta Elenco di controllo per la sicurezza AEM.
BGServlets è esposto Questo problema è stato risolto a partire da AEM 6.2. Consulta Note sulla versione di AEM 6.2

In questa pagina

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now