Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Connect | APSB17-35

ID do boletim

Data de publicação

Prioridade

APSB17-35

14 de novembro de 2017

3

Resumo

A Adobe lançou uma atualização de segurança para o Adobe Connect. Essa atualização resulta uma vulnerabilidade crítica Server-Side Request Forgery (SSRF) (CVE-2017-11291) que pode ser explorada para desviar dos controles de acesso de rede. Essa atualização também resolve três vulnerabilidades de validação de entrada classificadas como Importantes (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) que podem ser utilizadas em ataques refletidos de script entre sites. Por fim, a atualização inclui um recurso que permite que os administradores do Connect protejam os usuários de ataques por UI redressing (ou clickjacking) (CVE-2017-11290).

Versões do produto afetado

Produto

Versão

Plataforma

Adobe Connect

9.6.2 e anterior

Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

Adobe Connect

9.7

Todos

3

Observação:

O Adobe Connect 9.7 é lançado com as seguintes fases:
Serviços hospedados: a partir de 10 de novembro de 2017; verifique a programação de migração para a sua conta aqui.
Implementações no local: a partir de 17 de novembro de 2017
Serviços gerenciados: entre em contato com o seu representante de serviços gerenciados do Adobe Connect para programar sua atualização.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Número CVE

Server-Side Request Forgery (SSRF)

Desvio de controle de acesso à rede

Crítico

CVE-2017-11291

Script refletido entre sites

Divulgação de informações

Importante

CVE-2017-11287

Script refletido entre sites

Divulgação de informações

Importante

CVE-2017-11288

Script refletido entre sites

Divulgação de informações

Importante

CVE-2017-11289

UI redressing (ou clickjacking)

Divulgação de informações

Importante

CVE-2017-11290

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar problemas relevantes e por trabalhar com a Adobe para ajudar na proteção de nossos clientes:

  • Adam Willard da Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK da Biznet Bilisim A.S (CVE-2017-11291)

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?