Industries
Solutions
Clients
Intelligent Platform
Contact

Avis de sécurité Akamai Technologies 2009-0001

ID Akamai : 2009-0001
Date : 2009/23/20
Nom de produit : Download Manager
Versions touchées : < 2.2.4.8
Version corrigée : 2.2.4.8
ID CVE : {À définir}
Score CVSS de base : (AV:R/AC:H/Au:NR/C:C/I:C/A:C/B:N) 8.0

Description de produit
Akamai Download Manager est une application logicielle client permettant un téléchargement facile, rapide et fiable par les utilisateurs. Elle est disponible sous forme de composant ActiveX ou d'applet Java et offre aux utilisateurs la possibilité de suspendre un téléchargement pour le reprendre ultérieurement et de récupérer automatiquement après une interruption de connexion ou une défaillance généralisée du système.

Description des vulnérabilités
Akamai a repéré des failles de sécurité dans son application Download Manager pour la version 2.2.3.7 et les versions antérieures du composant ActiveX. Pour que cette vulnérabilité puisse être exploitée avec succès, il faut que l'utilisateur ait été amené à visiter une URL malveillante mise en place par un agresseur. Ceci peut entraîner un téléchargement non-autorisé et l'exécution automatique d'un code arbitraire dans le contexte de l'utilisateur victime de l'attaque.

Cette vulnérabilité n'existe que dans le logiciel client Download Manager et n'affecte en aucune façon les services d'Akamai.

Instructions de correction
Pour les versions ActiveX :
Les utilisateurs touchés peuvent réaliser une mise à jour avec la dernière version d'Akamai Download Manager en visitant la page web suivante :

http://dlm.tools.akamai.com/tools/upgrade.html

L'utilisateur visitant cette page ou toute autre page active pour Download Manager se verra automatiquement invité à installer la dernière version du logiciel. Akamai a pu se coordonner avec chacune de ses entreprises clientes pour s'assurer que toutes distribuent la version corrigée.

Pour vérifier que la bonne version est installée :

  • Sur Internet Explorer, sélectionnez « Internet Options » dans le menu « Tools ».
  • Sous l'onglet « General », sélectionnez « Settings » dans la section « Temporary Internet files ».
  • Sélectionnez « View Ojects... » dans la section « Temporary Internet files folder ».
  • Trouvez l'élément « DownloadManager Control » et vérifiez que la version en est bien « 2,2,4,8 » ou plus récente.
    Si vous voulez désinstaller Download Manager, effectuez enfin l'étape suivante :
  • Trouvez l'élément « DownloadManager Control », effectuez un clic droit et sélectionnez « Supprimer ».
  • Répondez « Yes » à la demande de confirmation.
Pour les versions Java : la version Java n'est pas installée de façon définitive. Aucune action de l'utilisateur n'est nécessaire.

Crédits
Cette vulnérabilité a été découverte de façon indépendante et portée à la connaissance d'Akamai par iDefense (http://labs.idefense.com).

Informations complémentaires
http://www.akamai.com/html/support/security.html

À propos d'Akamai :
Akamai® est le premier fournisseur mondial de services d’accélération de contenus et de processus métier en ligne. Des milliers d’entreprises ont développé des relations de confiance avec Akamai, augmentant ainsi leur chiffre d'affaires et réduisant leurs charges, grâce à l’optimisation des performances de leurs activités en ligne. En exploitant EdgePlatform d'Akamai, ces entreprises bénéficient aujourd'hui d'un avantage commercial tout en se dotant du socle nécessaire aux solutions web de demain. Akamai est « Le partenaire de confiance pour le commerce en ligne ». Pour plus d'informations, visitez le site www.akamai.com.

Avis de sécurité Akamai Technologies 2008-0002

ID Akamai : 2008-0002
Date : 2008/04/20
Nom de produit : Download Manager
Versions touchées : < 2.2.3.6
Version corrigée : 2.2.3.7
ID CVE : CVE-2008-1770
Score CVSS de base : (AV:R/AC:H/Au:NR/C:C/I:C/A:C/B:N) 8.0

Description de produit
Akamai Download Manager est une application logicielle client permettant un téléchargement facile, rapide et fiable par les utilisateurs. Elle est disponible sous forme de composant ActiveX ou d'applet Java et offre aux utilisateurs la possibilité de suspendre un téléchargement pour le reprendre ultérieurement et de récupérer automatiquement après une interruption de connexion ou une défaillance généralisée du système.

Description des vulnérabilités
Akamai a repéré des failles de sécurité dans son application Download Manager pour la version 2.2.3.5 et les versions antérieures du composant ActiveX. Pour que cette vulnérabilité puisse être exploitée avec succès, il faut que l'utilisateur ait été amené à visiter une URL malveillante mise en place par un agresseur. Ceci peut entraîner un téléchargement non-autorisé et l'exécution automatique d'un code arbitraire dans le contexte de l'utilisateur victime de l'attaque.

Cette vulnérabilité n'existe que dans le logiciel client Download Manager et n'affecte en aucune façon les services d'Akamai.

Instructions de correction
Les utilisateurs touchés peuvent réaliser une mise à jour avec la dernière version d'Akamai Download Manager en visitant la page web suivante :

http://dlm.tools.akamai.com/tools/upgrade.html

L'utilisateur visitant cette page ou toute autre page active pour Download Manager se verra automatiquement invité à installer la dernière version du logiciel. Akamai a pu se coordonner avec chacune de ses entreprises clientes pour s'assurer que toutes distribuent la version corrigée.

Pour vérifier que la bonne version est installée :

  • Sur Internet Explorer, sélectionnez « Internet Options » dans le menu « Tools ».
  • Sous l'onglet « General », sélectionnez « Settings » dans la section « Temporary Internet files ».
  • Sélectionnez « View Ojects... » dans la section « Temporary Internet files folder ».
  • Trouvez l'élément « DownloadManager Control » et vérifiez que la version en est bien « 2,2,3,5 » ou plus récente.
    Si vous voulez désinstaller Download Manager, effectuez enfin l'étape suivante :
  • Trouvez l'élément « DownloadManager Control », effectuez un clic droit et sélectionnez « Supprimer ».
  • Répondez « Yes » à la demande de confirmation.

Crédits
CVE-2008-1770 a été découvert de manière indépendante et porté à l'attention d'Akamai par FortiNet (http://fortinet.com).
Fortinet (http://www.fortinet.com/)

Informations complémentaires
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1770

Avis de sécurité Akamai Technologies 2007-0001

ID Akamai : 2007-0001
Date : 2007/04/11
Nom de produit : Download Manager
Versions touchées : < 2.2.1.0
Version corrigée : 2.2.1.0
ID CVE : CVE-2007-1891 CVE-2007-1892
Score CVSS de base : (AV:R/AC:H/Au:NR/C:C/I:C/A:C/B:N) 8.0

Description de produit
Akamai Download Manager est une application logicielle client permettant un téléchargement facile, rapide et fiable par les utilisateurs. Elle est disponible sous forme de composant ActiveX ou d'applet Java et offre aux utilisateurs la possibilité de suspendre un téléchargement pour le reprendre ultérieurement et de récupérer automatiquement après une interruption de connexion ou une défaillance généralisée du système.

Description des vulnérabilités
Deux failles de sécurité ont été découvertes dans la version ActiveX d'Akamai Download Manager. Pour que ces vulnérabilités puissent être exploitées avec succès, il faut que l'utilisateur ait été amené à visiter une URL malveillante, déclenchant un débordement de pile qui permet à l'agresseur d'exécuter un code arbitraire dans le contexte de la victime.

La vulnérabilité CVE-2007-1891 touche des versions plus récentes que la version 2.0.4.4 et plus anciennes que la version 2.2.1.0. La vulnérabilité CVE-2007-1892 touche toutes les versions antérieures à la version 2.2.1.0. Dans les deux cas, on peut y remédier en installant la version 2.2.1.0. Une mise à jour par cette version est recommandée.

La version Java d'Akamai Download Manager n'est touchée par aucune de ces vulnérabilités.

Ces vulnérabilités n'existent que dans le logiciel client Download Manager et n'affectent en aucune façon les services d'Akamai.

Instructions de correction
Les utilisateurs touchés peuvent réaliser une mise à jour avec la dernière version d'Akamai Download Manager en visitant la page web suivante :

http://dlm.tools.akamai.com/tools/upgrade.html

L'utilisateur visitant cette page ou toute autre page active pour Download Manager se verra automatiquement invité à installer la dernière version du logiciel. Akamai a pu se coordonner avec chacune de ses entreprises clientes pour s'assurer que toutes distribuent la version corrigée.

Pour vérifier que la bonne version est installée :

  • Sur Internet Explorer, sélectionnez « Internet Options » dans le menu « Tools ».
  • Sous l'onglet « General », sélectionnez « Settings » dans la section « Temporary Internet files ».
  • Sélectionnez « View Ojects... » dans la section « Temporary Internet files folder ».
  • Trouvez l'élément « DownloadManager Control » et vérifiez que la version en est bien « 2,2,1,0 » ou plus récente.
    Si vous voulez désinstaller Download Manager, effectuez enfin l'étape suivante :
  • Trouvez l'élément « DownloadManager Control », effectuez un clic droit et sélectionnez « Supprimer ».
  • Répondez « Yes » à la demande de confirmation.

Crédits
CVE-2007-1891 a été découvert de manière indépendante et porté à l'attention d'Akamai par :
Fortinet (http://www.fortinet.com/)
iDefense (http://labs.idefense.com/)

La vulnérabilité CVE-2007-1892 a été découverte par Akamai.

Informations complémentaires
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1891
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1892