AEMセキュリティ通知(2018年11月)

概要

この記事では、AEMで最近報告された、いくつかの古い脆弱性について説明します。 特定された脆弱性のほとんどは、AEM製品の既知の問題であり、緩和策は既に特定されています。新しい脆弱性には、新しいDispatcherバージョンを使用できます。 Adobeは、お客様にAEMセキュリティチェックリストを完了し、関連するガイドラインに従うよう求めます。

アクションが必要です

  • AEMデプロイメントは、最新バージョンのDispatcherを使用し始める必要があります。
  • 推奨される設定に従って、Dispatcherのセキュリティルールを適用する必要があります。
  • AEMデプロイメントの場合は、AEMセキュリティチェックリストを完了する必要があります。

脆弱性と解決策

問題 解決方法 リンク
AEM Dispatcherルールのバイパス 最新バージョンのDispatcher(4.3.1)をインストールし、推奨されるDispatcher設定に従います。 AEM DispatcherリリースノートおよびDispatcherの設定を参照してください。
Dispatcherルールを回避するために使用される可能性があるURLフィルターバイパスの脆弱性 — CVE-2016-0957 これは古いバージョンのDispatcherで修正されましたが、現在は、最新バージョンのDispatcher(4.3.1)をインストールし、推奨されるDispatcher設定に従うことをお勧めします。 AEM DispatcherリリースノートおよびDispatcherの設定を参照してください。
保存されたSWFファイルに関するXSSの脆弱性 これは、以前にリリースされたセキュリティ修正で対処されています。 AEMセキュリティ情報APSB18-10を参照してください。
パスワード関連の弱点 より強力なパスワードについては、セキュリティチェックリストの推奨事項に従ってください。 AEMセキュリティチェックリストを参照
匿名ユーザーに対するディスク使用量の露出 この問題はAEM 6.1以降で解決されました。AEM 6.0の場合は、標準の権限を変更して、より制限を厳格にすることができます。 AEM 6.1以前のバージョンについては、リリースノートを参照してください。
匿名ユーザーに対するオープンソーシャルプロキシの公開 これは6.0 SP2以降のバージョンで解決されています。 AEM 6.1以前のバージョンについては、リリースノートを参照してください。
実稼動インスタンスでのCRX Explorerアクセス CRX Explorerのアクセスの管理は、セキュリティチェックリストで既に説明されています。CRX Explorerは、実稼動オーサーとパブリッシュから削除する必要があり、削除しない場合はセキュリティヘルスチェックが報告します。 AEMセキュリティチェックリストを参照してください。
BGServletsが公開される これはAEM 6.2以降で解決されています。 AEM 6.2リリースノートを参照

このページ