Bulletin de sécurité Adobe

Mise à jour de sécurité disponible pour Adobe Campaign

Date de publication : 14 février 2017

Identifiant de vulnérabilité : APSB17-06

Priorité : 3

Références CVE : CVE-2017-2968, CVE-2017-2969

Plate-forme : Windows et Linux

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Campaign v6.11 pour Windows et Linux.  Cette mise à jour corrige un contournement de sécurité modéré affectant la console cliente Adobe Campaign.  Un utilisateur authentifié avec accès à la console cliente est susceptible d’importer et d’exécuter un fichier malveillant, pouvant entraîner un accès en lecture et en écriture au système (CVE-2017-2968). Cette mise à jour corrige également un problème modéré de validation en entrée pouvant faire l’objet d’une injection de code indirecte à distance (XSS) (CVE-2017-2969).

Versions concernées

Produit Versions affectées Plate-forme
Adobe Campaign v6.11
16.4 Build 8724 et versions antérieures Windows et Linux

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Mise à jour Plate-forme Priorité Disponibilité
Adobe Campaign v6.11 16.8 Build 8757 et versions ultérieures
Windows et Linux 3 Notes de mise à jour
  • Les clients peuvent consulter la FAQ pour savoir comment télécharger le dernier build.
  • Si vous utilisez Adobe Campaign 16.4 Build 8724 ou une version antérieure, consultez la page de documentation pour savoir comment corriger la vulnérabilité CVE-2017-2968 en limitant les importations de fichiers selon leur type.
  • Reportez-vous à cette page de documentation pour obtenir de l’aide lors de la mise à niveau du serveur Adobe Campaign et à cette page de documentation pour obtenir de l’aide lors de la mise à niveau de la console cliente.

Détails concernant la vulnérabilité

  • Cette mise à jour corrige un contournement modéré de sécurité concernant Adobe Campaign susceptible d’être exploité par un utilisateur authentifié avec accès à la console cliente. Ce code malveillant est susceptible de donner un accès en lecture et en écriture au système (CVE-2017-2968).
  • Cette mise à jour corrige un problème modéré de validation en entrée pouvant faire l’objet d’une injection de code indirecte à distance (XSS) (CVE-2017-2969).

Remerciements

Adobe tient à remercier Léa NUEL de NES d’avoir signalé ces problèmes (CVE-2017-2968 et CVE-2017-2969) et joint ses efforts aux nôtres pour protéger la sécurité des clients.