Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB17-41
Référence du bulletin Date de publication Priorité 
APSB17-41 14 novembre 2017
3

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Experience Manager. Ces mises à jour corrigent une vulnérabilité modérée de type « injection indirecte de code à distance (XSS réfléchie) » dans l’attribut HtmlRendererServlet (CVE-2017-3109), une vulnérabilité importante susceptible de divulguer des informations (CVE-2017-3111) dans laquelle un jeton sécurisé est inclus dans une requête HTTP GET en certaines circonstances et une vulnérabilité importante de type « injection indirecte de code à distance (XSS) » (CVE-2017-11296) dans Apache Sling Servlets Post 2.3.20. 

Versions concernées

Produit Version  Plate-forme
Adobe Experience Manager

6,3

6.2

6.1

6.0

Toutes

Remarque :

L’attribut HtmlRendererServlet doit être désactivé dans les systèmes de production.  Consultez l’article Running AEM in Production Ready Mode (en anglais) pour plus d’informations. 

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version  Plate-forme Priorité  Disponibilité
Adobe Experience Manager
6.3
Toutes 3 Note de mise à jour
6.2 Toutes 3 Note de mise à jour
6.1 Toutes 3 Note de mise à jour
6.0 Toutes 3 Note de mise à jour

Veuillez contacter l’assistance clientèle d’Adobe pour obtenir de l’aide concernant les versions antérieures d’AEM.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Références CVE Versions affectées Télécharger le package
Injection indirecte de code à distance (XSS réfléchie) Divulgation d’informations
Modéré
CVE-2017-3109
AEM 6.3 et versions antérieures

Correctif 17136 for 6.0.0

Pack cumulatif de correctifs pour 6.1 SP2 - AEM-6.1-SP2-CFP9

Pack cumulatif de correctifs pour 6.2 SP1 - AEM-6.2-SP1-CFP5

AEM 6.3 Service Pack 1 (6.3.1.0)

Jeton sécurisé dans la requête HTTP GET Divulgation d’informations Important CVE-2017-3111
AEM 6.1, AEM 6.2 Pack cumulatif de correctifs pour 6.1 SP2 - AEM-6.1-SP2-CFP12 
 
Pack cumulatif de correctifs pour 6.2 SP1 - AEM-6.2-SP1-CFP2
Injection indirecte de code à distance (XSS)
Divulgation d’informations Important CVE-2017-11296 AEM 6.3 et versions antérieures

Correctif 18963 pour 6.0.0

Pack cumulatif de correctifs pour 6.1 SP2 - AEM-6.1-SP2-CFP12

Pack cumulatif de correctifs pour 6.2 SP1 - AEM-6.2-SP1-CFP6

Pack cumulatif de correctifs pour AEM-CFP-6.3.0.2

 

Remarque :

Les packages répertoriés dans le tableau ci-dessus rassemblent les packs de correctifs de base pour prévenir la vulnérabilité répertoriée.  Pour obtenir les dernières versions, consultez les liens des notes de mise à jour indiqués ci-dessus.

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé ces problèmes particuliers et joint leurs efforts aux nôtres pour assurer la sécurité des clients :  

  • Nagamarimuthu de Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)