Mises à jour de sécurité disponibles pour Adobe Connect | APSB17-35
Référence du bulletin Date de publication Priorité 
APSB17-35 14 novembre 2017 3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Connect. Cette mise à jour corrige une vulnérabilité critique d’usurpation de requête côté serveur (SSRF) (CVE-2017-11291) susceptible d’être exploitée pour contourner les contrôles d’accès réseau. Cette mise à jour corrige également trois vulnérabilités importantes de validation en entrée (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) pouvant faire l’objet d’une injection indirecte de code à distance (XSS réfléchie). Enfin, cette mise à jour comprend une fonction qui permet aux administrateurs Connect de protéger les utilisateurs des attaques par détournement de clic (CVE-2017-11290).

Versions concernées

Produit Version  Plate-forme
Adobe Connect Versions 9.6.2 et antérieures Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version  Plate-forme Priorité  Disponibilité
Adobe Connect 9.7 Toutes 3 Note de mise à jour

Remarque :

Adobe Connect 9.7 sera déployé selon différentes phases :
Services hébergés : démarrage le 10 novembre 2017 ; vérifiez le calendrier de migration de votre compte ici.
Déploiements sur Site : démarrage le 17 novembre 2017
Services gérés : contactez votre représentant Adobe Connect Managed Services pour planifier votre mise à jour.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Référence CVE
Usurpation de requête côté serveur (SSRF) Contournement de contrôle d’accès réseau Critique CVE-2017-11291
Injection indirecte de code à distance (XSS réfléchie) Divulgation d’informations
Important CVE-2017-11287
Injection indirecte de code à distance (XSS réfléchie) Divulgation d’informations
Important
CVE-2017-11288
Injection indirecte de code à distance (XSS réfléchie) Divulgation d’informations Important CVE-2017-11289
Détournement de clic Divulgation d’informations Important CVE-2017-11290

Remerciements

Adobe tient à remercier les personnes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :

  • Adam Willard de Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK de Biznet Bilisim A.S (CVE-2017-11291)