Bulletin de sécurité Adobe

Correctifs de sécurité disponibles pour Adobe Experience Manager

Date de publication : 9 août 2016

Identifiant de vulnérabilité : APSB16-27

Priorité : 2

Références CVE : CVE-2016-4168, CVE-2016-4169, CVE-2016-4170, CVE-2016-4253

Plate-forme : Windows, Linux, Unix et OS X

Récapitulatif

Adobe a publié des correctifs de sécurité pour Adobe Experience Manager. Ces correctifs résolvent deux problèmes importants de validation en entrée pouvant faire l’objet d’une injection de code indirecte à distance (XSS) (CVE-2016-4168 et CVE-2016-4170). Ils rectifient également une vulnérabilité importante dans la fonctionnalité de sauvegarde susceptible d’entraîner la divulgation d’informations (CVE-2016-4253) et une vulnérabilité importante capable de dévoiler des événements du journal d’audit à des utilisateurs non autorisés (CVE-2016-4169).

Versions concernées

Produit Versions concernées Plate-forme
  6.2 Windows, Unix, Linux et OS X
Adobe Experience Manager 6.1 Windows, Unix, Linux et OS X
  6.0 Windows, Unix, Linux et OS X
  5.6.1 Windows, Unix, Linux et OS X

Solution

Adobe recommande aux utilisateurs dont les déploiements se font sur site d’installer les correctifs disponibles figurant ci-dessous. De plus, les utilisateurs sont invités à consulter et à suivre les étapes décrites dans les listes de sécurité pour les versions 6.2, 6.1, 6.0 ou 5.6.1.

Produit Versions Priorité Disponibilité
  6.2
2 Correctifs (6.2)
Adobe Experience Manager 6.1 2 Correctifs (6.1)
  6.0 2 Correctifs (6.0)
  5.6.1 2 Correctifs (5.6.1)

Consultez la page d’aide d’Adobe Experience Manager pour plus d’informations sur les correctifs disponibles.  

Détails concernant la vulnérabilité

Description CVE Versions concernées Télécharger le package

Ces correctifs résolvent un problème de validation en entrée pouvant faire l’objet d’une injection de code indirecte à distance (XSS).

CVE-2016-4168
Versions 6.1 et antérieures Correctif 9639 pour 6.1
Correctif 10767 pour 6.0
Correctif 10764 pour 5.6.1

Les correctifs rectifient une vulnérabilité susceptible de dévoiler des événements du journal d’audit à des utilisateurs non autorisés.

CVE-2016-4169
6.2, 6.1 et 6.0 Correctif 10956 pour 6.2
Correctif 10768 pour 6.1
Correctif 10767 pour 6.0

Ces correctifs résolvent un problème de validation en entrée pouvant faire l’objet d’une injection de code indirecte à distance (XSS).

CVE-2016-4170
Versions 6.2 et antérieures Correctif 10936 pour 6.2
Correctif 10936 pour 6.1
Correctif 10936 pour 6.0
Correctif 10936 pour 5.6.1

Les correctifs rectifient une vulnérabilité dans la fonctionnalité de sauvegarde susceptible d’entraîner la divulgation d’informations.

CVE-2016-4253 Versions 6.2 et antérieures Correctif 10870 pour 6.2
Correctif 10870 pour 6.1
Correctif 10870 pour 6.0
Correctif 10870 pour 5.6.1

Remerciements

Adobe tient à remercier les personnes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :

  • Adam Willard de Raytheon Foreground Security (CVE-2016-4168)
  • Ninad Sarang (@hbkninad) (CVE-2016-4169)
  • Franz Saller (CVE-2016-4170)
  • Kyle Lovett (CVE-2016-4253)