AEM安全通知(2018年11月)

摘要

本文介绍了AEM中最近报告的一些最新和旧的漏洞。 请注意,大多数已识别的漏洞是AEM产品的已知问题,且以前已识别出缓解问题,新的调度程序版本可用于这些新漏洞。 Adobe还敦促客户完成AEM安全检查表并遵循相关准则。

需要采取操作

  • AEM部署应开始使用最新的Dispatcher版本。
  • 必须根据建议的配置应用调度程序安全规则。
  • 应为AEM部署完成AEM安全检查表

漏洞和解决方案

带有 OS 剪贴板 分辨率 链接
绕过AEM Dispatcher规则 安装最新版本的Dispatcher(4.3.1)并遵循建议的Dispatcher配置。 请参阅AEM Dispatcher发行说明配置Dispatcher
可用于规避调度程序规则的URL过滤器绕过漏洞 — CVE-2016-0957 已在旧版Dispatcher中修复此问题,但现在建议您安装最新版本的Dispatcher(4.3.1)并遵循建议的Dispatcher配置。 请参阅AEM Dispatcher发行说明配置Dispatcher
与存储的SWF文件相关的XSS漏洞 已通过之前发布的安全修复来解决此问题。 请参阅AEM安全公告APSB18-10
与密码相关的漏洞利用 遵循安全检查列表中的建议以设置更强密码。 请参阅AEM安全检查列表
匿名用户的磁盘使用暴露 此问题已在AEM 6.1及更高版本中解决,对于AEM 6.0,可以对现成的权限进行修改,以增加限制。 请参阅发行说明,了解AEM 6.1及更低版本。
面向匿名用户的开放式Social代理曝光 在从6.0 SP2开始的版本中,此问题已得到解决。 请参阅适用于AEM 6.1及更低版本的发行说明
生产实例上的CRX资源管理器访问 管理CRX Explorer访问权限已在安全检查列表中涵盖,应从生产作者中删除CRX Explorer并发布,如果未删除,安全运行状况检查会报告它。 请参阅AEM安全检查表
BGServlet已公开 自AEM 6.2以来,此问题已得到解决。 请参阅AEM 6.2发行说明

在此页面上