Notificação de segurança do AEM (novembro de 2018)

Resumo

Este artigo aborda algumas vulnerabilidades recentes e antigas que foram relatadas recentemente no AEM. Observe que a maioria das vulnerabilidades identificadas eram problemas conhecidos do produto AEM e sua atenuação foram identificadas anteriormente, uma nova versão do dispatcher está disponível para as novas vulnerabilidades. A Adobe também solicita que os clientes concluam a Lista de verificação de segurança do AEM e sigam as diretrizes relevantes.

Ação obrigatória

  • As implantações do AEM devem começar a usar a versão mais recente do Dispatcher.
  • As regras de segurança do dispatcher devem ser aplicadas de acordo com a configuração recomendada.
  • A Lista de verificação de segurança do AEM deve ser concluída para implantações do AEM.

Vulnerabilidades e resoluções

Problema Resolução Links
Ignorando regras do Dispatcher do AEM Instale a versão mais recente do Dispatcher(4.3.1) e siga a configuração recomendada do Dispatcher. Consulte Notas de versão do AEM Dispatcher e Configurando o Dispatcher.
Vulnerabilidade de desvio de filtro de URL que pode ser usada para contornar as regras do dispatcher - CVE-2016-0957 Isso foi corrigido em uma versão mais antiga do Dispatcher, mas agora é recomendável instalar a versão mais recente do Dispatcher (4.3.1) e seguir a configuração recomendada do Dispatcher. Consulte Notas de versão do AEM Dispatcher e Configurando o Dispatcher.
Vulnerabilidade XSS relacionada aos arquivos SWF armazenados Isso foi resolvido com as correções de segurança lançadas anteriormente. Consulte Boletim de segurança do AEM APSB18-10.
Explosões relacionadas a senha Siga a recomendação na lista de verificação de segurança para senhas mais fortes. Consulte Lista de verificação de segurança do AEM
Exposição do uso de disco para usuários anônimos Esse problema foi resolvido para o AEM 6.1 e posterior, para o AEM 6.0, as permissões prontas para uso podem ser modificadas para serem mais restritivas. Consulte as notas de versãopara AEM 6.1 e mais recente.
Exposição do Proxy Social Aberto para usuários anônimos Isso foi resolvido nas versões a partir do 6.0 SP2. Consulte as notas de versão para AEM 6.1 e posterior.
Acesso ao CRX Explorer em instâncias de produção O gerenciamento do acesso ao CRX Explorer já está coberto na Lista de verificação de segurança, o CRX Explorer deve ser removido do autor e da publicação da produção e a verificação de integridade da segurança a relata caso não tenha sido removido. Consulte Lista de verificação de segurança do AEM.
BGServlets é exposto Isso foi resolvido desde o AEM 6.2. Consulte Notas de versão do AEM 6.2

Nesta página