Référence du bulletin
Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB17-41
|
Date de publication |
Priorité |
---|---|---|
APSB17-41 |
14 novembre 2017 |
3 |
Récapitulatif
Adobe a publié des mises à jour de sécurité pour Adobe Experience Manager. Ces mises à jour corrigent une vulnérabilité modérée de type « injection indirecte de code à distance (XSS réfléchie) » dans l’attribut HtmlRendererServlet (CVE-2017-3109), une vulnérabilité importante susceptible de divulguer des informations (CVE-2017-3111) dans laquelle un jeton sécurisé est inclus dans une requête HTTP GET en certaines circonstances et une vulnérabilité importante de type « injection indirecte de code à distance (XSS) » (CVE-2017-11296) dans Apache Sling Servlets Post 2.3.20.
Versions concernées
Produit |
Version |
Plate-forme |
---|---|---|
Adobe Experience Manager |
6,3 6.2 6.1 6.0 |
Toutes |
L’attribut HtmlRendererServlet doit être désactivé dans les systèmes de production. Consultez l’article Running AEM in Production Ready Mode (en anglais) pour plus d’informations.
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit | Version | Plate-forme | Priorité | Disponibilité |
---|---|---|---|---|
Adobe Experience Manager |
6.3 |
Toutes | 3 | Note de mise à jour |
6.2 | Toutes | 3 | Note de mise à jour |
|
6.1 | Toutes | 3 | Note de mise à jour |
|
6.0 | Toutes | 3 | Note de mise à jour |
Veuillez contacter l’assistance clientèle d’Adobe pour obtenir de l’aide concernant les versions antérieures d’AEM.
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
Références CVE |
Versions affectées |
Télécharger le package |
---|---|---|---|---|---|
Injection indirecte de code à distance (XSS réfléchie) |
Divulgation d’informations |
Modéré |
CVE-2017-3109 |
AEM 6.3 et versions antérieures |
|
Jeton sécurisé dans la requête HTTP GET |
Divulgation d’informations |
Important |
CVE-2017-3111 |
AEM 6.1, AEM 6.2 |
|
Injection indirecte de code à distance (XSS) |
Divulgation d’informations |
Important |
CVE-2017-11296 |
AEM 6.3 et versions antérieures |
Les packages répertoriés dans le tableau ci-dessus rassemblent les packs de correctifs de base pour prévenir la vulnérabilité répertoriée. Pour obtenir les dernières versions, consultez les liens des notes de mise à jour indiqués ci-dessus.
Remerciements
Adobe tient à remercier les personnes et sociétés suivantes d’avoir signalé ces problèmes particuliers et joint leurs efforts aux nôtres pour assurer la sécurité des clients :
- Nagamarimuthu de Cognizant Technology Solutions - Enterprise Risk & Security Solutions (CVE-2017-3109)
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?