Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Experience Manager

Date de publication : 9 février 2016

Dernière mise à jour : 12 février 2016

Identifiant de vulnérabilité : APSB16-05

Priorité : 2

Références CVE : CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

Plate-forme : Windows, Linux, Unix et OS X

Récapitulatif

Adobe a publié des correctifs de sécurité pour Adobe Experience Manager. Ces correctifs éliminent des vulnérabilités importantes qui sont susceptibles d’entraîner la divulgation d’informations.  

Versions concernées

Produit Versions concernées Plate-forme
  6.1.0 Windows, Unix, Linux et OS X
Adobe Experience Manager 6.0.0 Windows, Unix, Linux et OS X
  5.6.1 Windows, Unix, Linux et OS X

Solution

Adobe recommande aux utilisateurs dont les déploiements se font sur site d’installer les correctifs disponibles figurant ci-dessous. De plus, les utilisateurs sont invités à consulter et à suivre les étapes décrites dans les listes de sécurité pour les versions 6.1, 6.0 ou 5.6.1.

Produit Versions Priorité Disponibilité
  6.1.0
2 Correctifs (6.1.0)
Adobe Experience Manager 6.0.0 2 Correctifs (6.0)
  5.6.1 2 Correctifs (5.6.1)

Consultez la page d’aide d’Adobe Experience Manager pour plus d’informations sur les correctifs disponibles.  

Détails concernant la vulnérabilité

Description CVE Télécharger le package
  • Le correctif 8364 comprend un agent d’atténuation des problèmes de désérialisation de Java
CVE-2016-0958

Correctif pour la version 6.1
Correctif pour la version 6.0
Correctif pour la version 5.6.1

  • Le correctif 8651 élimine une vulnérabilité de type « attaque multisite par scripts » (affectant uniquement la version 6.1.0) susceptible d’entraîner la divulgation d’informations.
CVE-2016-0955

Correctif pour la version 6.1

  • Le correctif 6445 élimine une vulnérabilité affectant Apache Sling Servlets Post 2.3.6 et les versions antérieures.
CVE-2016-0956

Correctif pour la version 6.1
Correctif pour la version 6.0
Correctif pour la version 5.6.1

  • Dispatcher 4.1.5 et ses versions ultérieures corrigent une vulnérabilité de type « contournement de filtre URL » pouvant être utilisée pour éviter les règles des répartiteurs
CVE-2016-0957 Répartiteur

Remerciements

Adobe tient à remercier les personnes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :

  • Damian Pfammatter de Compass Security Schweiz AG (CVE-2016-0955)
  • Ateeq ur Rehman Khan de Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

Révisions

12 février 2016:

  • Ajout de la mention « et les versions antérieures » pour préciser que CVE-2016-0956 affecte Apache Sling Servlets Post 2.3.6 et les versions précédentes.  
  • Modification de la description de CVE-2016-0955 pour préciser qu’une seule version est affectée (6.1.0). Les versions antérieures à AEM 6.1.0 ne sont pas affectées par CVE-2016-0955.  
  • La section "Détails concernant la vulnérabilité" apparaît désormais sous forme de tableau et inclut les URL des packages de téléchargement pour chaque correctif.