Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Connect | APSB17-35

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB17-35

14. November 2017

3

Zusammenfassung

Adobe hat ein Sicherheits-Update für Adobe Connect veröffentlicht. Dieses Update behebt eine kritische SSRF(Server-Side Request Forgery)-Sicherheitslücke (CVE-2017-11291), die missbraucht werden könnte, um Netzwerkzugriffsteuerung zu umgehen. Dieses Update schließt außerdem drei als wichtig eingestufte Sicherheitslücken bei der Eingabevalidierung (CVE-2017-11287, CVE 2017-11288, CVE-2017-11289), die bei reflektierten Cross-Site-Scripting-Angriffen verwendet werden könnten. Außerdem umfasst dieses Update eine Funktion, mit der Connect-Administratoren Benutzer vor UI-Redressing-Angriffen (oder Clickjacking) schützen können (CVE-2017-11290).

Betroffene Produktversionen

Produkt

Version

Plattform

Adobe Connect

9.6.2 und früher

Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt

Version

Plattform

Priorität

Verfügbarkeit

Adobe Connect

9.7

Alle

3

Hinweis:

Adobe Connect 9.7 wird in den folgenden Phasen eingeführt:
Gehostete Dienste: Ab dem 10. November 2017); Informationen zum Migrationszeitplan für Ihr Konto finden Sie hier.
Lokale Bereitstellungen: Ab dem 17. November 2017
Verwaltete Dienste: Wenden Sie sich zur Planung Ihrer Aktualisierung an Ihren Vertreter für Adobe Connect Managed Services.

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVE-Nummer

Server-Side Request Forgery (SSRF)

Umgehung der Netzwerkzugriffsteuerung

Kritisch

CVE-2017-11291

Reflektiertes Cross-Site-Scripting

Offenlegung von Informationen

Wichtig

CVE-2017-11287

Reflektiertes Cross-Site-Scripting

Offenlegung von Informationen

Wichtig

CVE-2017-11288

Reflektiertes Cross-Site-Scripting

Offenlegung von Informationen

Wichtig

CVE-2017-11289

UI-Redressing (oder Clickjacking)

Offenlegung von Informationen

Wichtig

CVE-2017-11290

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und ihren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Adam Willard von Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK von Biznet Bilisim A.S (CVE-2017-11291)

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?