Aggiornamenti di sicurezza disponibili per Adobe Connect | APSB17-35
ID bollettino Data di pubblicazione Priorità
APSB17-35 14 novembre 2017 3

Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect. Questo aggiornamento risolve una vulnerabilità critica di tipo server-site request forgery (SSRF) (CVE-2017-11291) che potrebbe essere sfruttata per aggirare i controlli di accesso alla rete. Questo aggiornamento risolve anche tre vulnerabilità importanti di convalida dell'input (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) che potrebbero essere utilizzate in attacchi di cross-site scripting riflesso. Infine, questo aggiornamento include una funzione che consente agli amministratori di Adobe Connect di proteggere gli utenti da attacchi di UI redressing (o clickjacking) (CVE-2017-11290).

Versioni del prodotto interessate

Prodotto Versione Piattaforma
Adobe Connect 9.6.2 e versioni precedenti Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto Versione Piattaforma Priorità Disponibilità
Adobe Connect 9.7 Tutte 3 Nota di rilascio

Nota:

Adobe Connect 9.7 verrà lanciato nelle fasi seguenti:
Servizi in hosting: a partire dal 10 novembre 2017; gli utenti possono controllare la pianificazione della migrazione per l'account personale qui.
Distribuzioni on-premise: a partire dal 17 novembre 2017
Managed Services: gli utenti devono contattare il loro responsabile Adobe Connect Managed Services per pianificare l'aggiornamento.

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Server-side request forgery (SSRF) Aggiramento dei controlli di accesso alla rete Critica CVE-2017-11291
Cross-site scripting riflesso Divulgazione di informazioni
Importante CVE-2017-11287
Cross-site scripting riflesso Divulgazione di informazioni
Importante
CVE-2017-11288
Cross-site scripting riflesso Divulgazione di informazioni Importante CVE-2017-11289
UI redressing (o clickjacking) Divulgazione di informazioni Importante CVE-2017-11290

Ringraziamenti

Adobe desidera ringraziare i singoli utenti seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Adam Willard di Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK di Biznet Bilisim A.S (CVE-2017-11291)