AEMセキュリティ通知(2018年11月)
概要
この記事では、AEMで最近報告された、いくつかの古い脆弱性について説明します。 特定された脆弱性のほとんどは、AEM製品の既知の問題であり、緩和策は既に特定されています。新しい脆弱性には、新しいDispatcherバージョンを使用できます。 Adobeは、お客様にAEMセキュリティチェックリストを完了し、関連するガイドラインに従うよう求めます。
アクションが必要です
- AEMデプロイメントは、最新バージョンのDispatcherを使用し始める必要があります。
- 推奨される設定に従って、Dispatcherのセキュリティルールを適用する必要があります。
- AEMデプロイメントの場合は、AEMセキュリティチェックリストを完了する必要があります。
脆弱性と解決策
| 問題 | 解決方法 | リンク |
|---|---|---|
| AEM Dispatcherルールのバイパス | 最新バージョンのDispatcher(4.3.1)をインストールし、推奨されるDispatcher設定に従います。 | AEM DispatcherリリースノートおよびDispatcherの設定を参照してください。 |
| Dispatcherルールを回避するために使用される可能性があるURLフィルターバイパスの脆弱性 — CVE-2016-0957 | これは古いバージョンのDispatcherで修正されましたが、現在は、最新バージョンのDispatcher(4.3.1)をインストールし、推奨されるDispatcher設定に従うことをお勧めします。 | AEM DispatcherリリースノートおよびDispatcherの設定を参照してください。 |
| 保存されたSWFファイルに関するXSSの脆弱性 | これは、以前にリリースされたセキュリティ修正で対処されています。 | AEMセキュリティ情報APSB18-10を参照してください。 |
| パスワード関連の弱点 | より強力なパスワードについては、セキュリティチェックリストの推奨事項に従ってください。 | AEMセキュリティチェックリストを参照 |
| 匿名ユーザーに対するディスク使用量の露出 | この問題はAEM 6.1以降で解決されました。AEM 6.0の場合は、標準の権限を変更して、より制限を厳格にすることができます。 | AEM 6.1以前のバージョンについては、リリースノートを参照してください。 |
| 匿名ユーザーに対するオープンソーシャルプロキシの公開 | これは6.0 SP2以降のバージョンで解決されています。 | AEM 6.1以前のバージョンについては、リリースノートを参照してください。 |
| 実稼動インスタンスでのCRX Explorerアクセス | CRX Explorerのアクセスの管理は、セキュリティチェックリストで既に説明されています。CRX Explorerは、実稼動オーサーとパブリッシュから削除する必要があり、削除しない場合はセキュリティヘルスチェックが報告します。 | AEMセキュリティチェックリストを参照してください。 |
| BGServletsが公開される | これはAEM 6.2以降で解決されています。 | AEM 6.2リリースノートを参照 |
リソース
アドビアカウント
言語を変更
