Référence du bulletin
Dernière mise à jour le
1 mai 2021
|
S’applique également à Adobe Connect
Mises à jour de sécurité disponibles pour Adobe Connect | APSB17-35
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB17-35 |
14 novembre 2017 |
3 |
Récapitulatif
Adobe a publié une mise à jour de sécurité pour Adobe Connect. Cette mise à jour corrige une vulnérabilité critique d’usurpation de requête côté serveur (SSRF) (CVE-2017-11291) susceptible d’être exploitée pour contourner les contrôles d’accès réseau. Cette mise à jour corrige également trois vulnérabilités importantes de validation en entrée (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) pouvant faire l’objet d’une injection indirecte de code à distance (XSS réfléchie). Enfin, cette mise à jour comprend une fonction qui permet aux administrateurs Connect de protéger les utilisateurs des attaques par détournement de clic (CVE-2017-11290).
Versions concernées
|
Produit |
Version |
Plate-forme |
|---|---|---|
|
Adobe Connect |
Versions 9.6.2 et antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
|
Produit |
Version |
Plate-forme |
Priorité |
Disponibilité |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Toutes |
3 |
Remarque :
Adobe Connect 9.7 sera déployé selon différentes phases :
Services hébergés : démarrage le 10 novembre 2017 ; vérifiez le calendrier de migration de votre compte ici.
Déploiements sur Site : démarrage le 17 novembre 2017
Services gérés : contactez votre représentant Adobe Connect Managed Services pour planifier votre mise à jour.
Détails concernant la vulnérabilité
|
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
Référence CVE |
|---|---|---|---|
|
Usurpation de requête côté serveur (SSRF) |
Contournement de contrôle d’accès réseau |
Critique |
CVE-2017-11291 |
|
Injection indirecte de code à distance (XSS réfléchie) |
Divulgation d’informations |
Important |
CVE-2017-11287 |
|
Injection indirecte de code à distance (XSS réfléchie) |
Divulgation d’informations |
Important |
CVE-2017-11288 |
|
Injection indirecte de code à distance (XSS réfléchie) |
Divulgation d’informations |
Important |
CVE-2017-11289 |
|
Détournement de clic |
Divulgation d’informations |
Important |
CVE-2017-11290 |
Remerciements
Adobe tient à remercier les personnes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :
- Adam Willard de Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK de Biznet Bilisim A.S (CVE-2017-11291)
