ID do boletim
Atualizações de segurança disponíveis para o Adobe Connect | APSB17-35
|
Data de publicação |
Prioridade |
---|---|---|
APSB17-35 |
14 de novembro de 2017 |
3 |
Resumo
A Adobe lançou uma atualização de segurança para o Adobe Connect. Essa atualização resulta uma vulnerabilidade crítica Server-Side Request Forgery (SSRF) (CVE-2017-11291) que pode ser explorada para desviar dos controles de acesso de rede. Essa atualização também resolve três vulnerabilidades de validação de entrada classificadas como Importantes (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) que podem ser utilizadas em ataques refletidos de script entre sites. Por fim, a atualização inclui um recurso que permite que os administradores do Connect protejam os usuários de ataques por UI redressing (ou clickjacking) (CVE-2017-11290).
Versões do produto afetado
Produto |
Versão |
Plataforma |
---|---|---|
Adobe Connect |
9.6.2 e anterior |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
---|---|---|---|---|
Adobe Connect |
9.7 |
Todos |
3 |
O Adobe Connect 9.7 é lançado com as seguintes fases:
Serviços hospedados: a partir de 10 de novembro de 2017; verifique a programação de migração para a sua conta aqui.
Implementações no local: a partir de 17 de novembro de 2017
Serviços gerenciados: entre em contato com o seu representante de serviços gerenciados do Adobe Connect para programar sua atualização.
Detalhes da vulnerabilidade
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Número CVE |
---|---|---|---|
Server-Side Request Forgery (SSRF) |
Desvio de controle de acesso à rede |
Crítico |
CVE-2017-11291 |
Script refletido entre sites |
Divulgação de informações |
Importante |
CVE-2017-11287 |
Script refletido entre sites |
Divulgação de informações |
Importante |
CVE-2017-11288 |
Script refletido entre sites |
Divulgação de informações |
Importante |
CVE-2017-11289 |
UI redressing (ou clickjacking) |
Divulgação de informações |
Importante |
CVE-2017-11290 |
Agradecimentos
A Adobe gostaria de agradecer às seguintes pessoas por relatar problemas relevantes e por trabalhar com a Adobe para ajudar na proteção de nossos clientes:
- Adam Willard da Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK da Biznet Bilisim A.S (CVE-2017-11291)