この記事では、AEM で最近報告された、新しい脆弱性と古い脆弱性のいくつかについて説明します。 確認された脆弱性のほとんどは AEM 製品の既知の問題であり、緩和策は以前に確認されていることにご注意ください。新しい脆弱性には新しい Dispatcher バージョンが利用可能です。Adobe はまた、AEM セキュリティチェックリスト を完成させ、関連するガイドラインに従うことをお勧めします。
問題 | 解決策 | リンク |
---|---|---|
AEM Dispatcher ルールをバイパス | 最新バージョンの Dispatcher(4.3.1)をインストールし、推奨される Dispatcher の設定に従います。 | AEM Dispatcher リリースノートおよび Dispatcher の設定を参照してください。 |
Dispatcher ルールを回避するために使用される可能性のある URL フィルターバイパスの脆弱性 - CVE-2016-0957 | これは古いバージョンの Dispatcher では修正されましたが、最新バージョンの Dispatcher(4.3.1)をインストールし、推奨される Dispatcher 設定に従うことをお勧めします。 | AEM Dispatcher リリースノートおよび Dispatcher の設定を参照してください。 |
保存された SWF ファイルに関連する XSS の脆弱性 | これは、以前にリリースされたセキュリティ修正で対処されています。 | AEM セキュリティ速報 APSB18-10 を参照してください。 |
パスワード関連の攻撃 | より強力なパスワードについては、セキュリティチェックリストの推奨事項に従ってください。 | AEM セキュリティチェックリスト を参照してください。 |
匿名ユーザーに対するディスク使用量の漏洩 | この問題は AEM 6.1 以降で解決されました。AEM 6.0 の場合、標準提供の権限を変更して、より制限を厳しくすることができます。 | AEM 6.1 以降用のリリースノートを参照してください。 |
匿名ユーザーに対するオープンソーシャルプロキシの漏洩 | これは 6.0 SP2 以降のバージョンで解決されました。 | AEM 6.1 以前のリリースノートを参照してください。 |
実稼動インスタンスでの CRX Explorer アクセス | CRX Explorer アクセスの管理は、セキュリティチェックリストで既にカバーされています。CRX Explorer は実稼動オーサーおよびパブリッシュから削除する必要があり、削除されていない場合はセキュリティヘルスチェックが報告します。 | AEM セキュリティチェックリストを参照してください。 |
BGServlet が漏洩しました | これは AEM 6.2 以降で解決されています。 | AEM 6.2 リリースノートを参照してください。 |