Bulletin-ID
Zuletzt aktualisiert am
1. Mai 2021
|
Gilt auch für Adobe Connect
Sicherheits-Updates für Adobe Connect | APSB17-35
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB17-35 |
14. November 2017 |
3 |
Zusammenfassung
Adobe hat ein Sicherheits-Update für Adobe Connect veröffentlicht. Dieses Update behebt eine kritische SSRF(Server-Side Request Forgery)-Sicherheitslücke (CVE-2017-11291), die missbraucht werden könnte, um Netzwerkzugriffsteuerung zu umgehen. Dieses Update schließt außerdem drei als wichtig eingestufte Sicherheitslücken bei der Eingabevalidierung (CVE-2017-11287, CVE 2017-11288, CVE-2017-11289), die bei reflektierten Cross-Site-Scripting-Angriffen verwendet werden könnten. Außerdem umfasst dieses Update eine Funktion, mit der Connect-Administratoren Benutzer vor UI-Redressing-Angriffen (oder Clickjacking) schützen können (CVE-2017-11290).
Betroffene Produktversionen
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Adobe Connect |
9.6.2 und früher |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
|
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Alle |
3 |
Hinweis:
Adobe Connect 9.7 wird in den folgenden Phasen eingeführt:
Gehostete Dienste: Ab dem 10. November 2017); Informationen zum Migrationszeitplan für Ihr Konto finden Sie hier.
Lokale Bereitstellungen: Ab dem 17. November 2017
Verwaltete Dienste: Wenden Sie sich zur Planung Ihrer Aktualisierung an Ihren Vertreter für Adobe Connect Managed Services.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVE-Nummer |
|---|---|---|---|
|
Server-Side Request Forgery (SSRF) |
Umgehung der Netzwerkzugriffsteuerung |
Kritisch |
CVE-2017-11291 |
|
Reflektiertes Cross-Site-Scripting |
Offenlegung von Informationen |
Wichtig |
CVE-2017-11287 |
|
Reflektiertes Cross-Site-Scripting |
Offenlegung von Informationen |
Wichtig |
CVE-2017-11288 |
|
Reflektiertes Cross-Site-Scripting |
Offenlegung von Informationen |
Wichtig |
CVE-2017-11289 |
|
UI-Redressing (oder Clickjacking) |
Offenlegung von Informationen |
Wichtig |
CVE-2017-11290 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und ihren Beitrag zum Schutz der Sicherheit unserer Kunden:
- Adam Willard von Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK von Biznet Bilisim A.S (CVE-2017-11291)
