Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Experience Manager

Date de publication : 13 décembre 2016

Dernière mise à jour : 14 décembre 2016

Identifiant de vulnérabilité : APSB16-42

Priorité : 2

Référence CVE : CVE-2016-7882, CVE-2016-7883, CVE-2016-7884, CVE-2016-7885

Plate-forme : toutes

Récapitulatif

Adobe a publié des mises à jour de sécurité pour Adobe Experience Manager. Ces mises à jour corrigent trois problèmes importants de validation en entrée pouvant faire l’objet d’une injection de code indirecte à distance (XSS) (CVE-2016-7882, CVE-2016-7883 et CVE-2016-7884), et incluent une mise à jour pour protéger des utilisateurs contre une vulnérabilité importante de falsifications de requêtes multisites (CVE-2016-7885).

Versions concernées

Produit Versions concernées Plate-forme
  6.2 Toutes
Adobe Experience Manager 6.1 Toutes
  6.0 Toutes

Solution

Adobe recommande aux utilisateurs dont les déploiements se font sur site d’installer les mises à jour disponibles présentées ci-dessous. De plus, les utilisateurs sont invités à consulter et à suivre les étapes décrites dans les listes de sécurité pour les versions 6.2, 6.1 ou 6.0.

Produit Versions Priorité Disponibilité
  6.2
2 Note de mise à jour
Adobe Experience Manager 6.1 2 Note de mise à jour
  6.0 2 Note de mise à jour

Veuillez contacter l’assistance clientèle d’Adobe pour obtenir de l’aide concernant les versions antérieures d’AEM.

Détails concernant la vulnérabilité

Description CVE Versions concernées Télécharger le package

Les mises à jour corrigent un problème important de validation en entrée dans le filtre WCMDebug pouvant faire l’objet d’une injection de code indirecte à distance (XSS).

CVE-2016-7882
Versions 6.2 et antérieures Correctif 12444 pour 6.2
Correctif 12444 pour 6.1 SP2 [0]
Correctif 12444 pour 6.0 SP.3

Les mises à jour corrigent un problème important de validation en entrée dans l’assistant de création de lancement pouvant faire l’objet d’une injection de code indirecte à distance (XSS).

CVE-2016-7883
6.2 Correctif 13062 pour 6.2

Les mises à jour corrigent un problème important de validation en entrée dans les actifs de création DAM pouvant faire l’objet d’une injection de code indirecte à distance (XSS).

CVE-2016-7884
Versions 6.1 et antérieures Pack de correctifs cumulatifs pour 6.1 SP2
Correctif 13297 pour 6.0 SP3

Mises à jour du composant Jackrabbit pour protéger les utilisateurs contre les falsifications de requêtes multisites.

CVE-2016-7885 Versions 6.2 et antérieures Correctif 13547 pour 6.2
Correctif 12817 pour 6.1
Correctif 12846 pour 6.0

[0] Remarque : le correctif 12444 pour 6.1 SP2 est inclus dans AEM 6.1 SP2 CFP2.

Remerciements

Adobe tient à remercier Daniel Hamid d’avoir signalé ce problème (CVE-2016-7882) et joint ses efforts aux nôtres pour assurer la sécurité des clients.  CVE-2016-7883, CVE-2016-7884 et CVE-2016-7885 ont été signalés anonymement.

Révisions

14 décembre 2016 : modification concernant les plates-formes qui sont en réalité toutes impactées (seules Windows, Linux, Unix et OS X étaient précédemment citées). Ajout également d’une note pour préciser que le correctif 12444 était précédemment inclus avec AEM 6.1 SP2 CFP2.