Atualizações de segurança disponíveis para o Adobe Connect | APSB17-35
ID do boletim Data de publicação Prioridade
APSB17-35 14 de novembro de 2017 3

Resumo

A Adobe lançou uma atualização de segurança para o Adobe Connect. Essa atualização resulta uma vulnerabilidade crítica Server-Side Request Forgery (SSRF) (CVE-2017-11291) que pode ser explorada para desviar dos controles de acesso de rede. Essa atualização também resolve três vulnerabilidades de validação de entrada classificadas como Importantes (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) que podem ser utilizadas em ataques refletidos de script entre sites. Por fim, a atualização inclui um recurso que permite que os administradores do Connect protejam os usuários de ataques por UI redressing (ou clickjacking) (CVE-2017-11290).

Versões do produto afetado

Produto Versão Plataforma
Adobe Connect 9.6.2 e anterior Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto Versão Plataforma Prioridade Disponibilidade
Adobe Connect 9.7 Todos 3 Nota de versão

Observação:

O Adobe Connect 9.7 é lançado com as seguintes fases:
Serviços hospedados: a partir de 10 de novembro de 2017; verifique a programação de migração para a sua conta aqui.
Implementações no local: a partir de 17 de novembro de 2017
Serviços gerenciados: entre em contato com o seu representante de serviços gerenciados do Adobe Connect para programar sua atualização.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE
Server-Side Request Forgery (SSRF) Desvio de controle de acesso à rede Crítico CVE-2017-11291
Script refletido entre sites Divulgação de informações
Importante CVE-2017-11287
Script refletido entre sites Divulgação de informações
Importante
CVE-2017-11288
Script refletido entre sites Divulgação de informações Importante CVE-2017-11289
UI redressing (ou clickjacking) Divulgação de informações Importante CVE-2017-11290

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar problemas relevantes e por trabalhar com a Adobe para ajudar na proteção de nossos clientes:

  • Adam Willard da Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK da Biznet Bilisim A.S (CVE-2017-11291)