Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Connect | APSB17-35

ID bollettino

Data di pubblicazione

Priorità

APSB17-35

14 novembre 2017

3

Riepilogo

Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect. Questo aggiornamento risolve una vulnerabilità critica di tipo server-site request forgery (SSRF) (CVE-2017-11291) che potrebbe essere sfruttata per aggirare i controlli di accesso alla rete. Questo aggiornamento risolve anche tre vulnerabilità importanti di convalida dell'input (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) che potrebbero essere utilizzate in attacchi di cross-site scripting riflesso. Infine, questo aggiornamento include una funzione che consente agli amministratori di Adobe Connect di proteggere gli utenti da attacchi di UI redressing (o clickjacking) (CVE-2017-11290).

Versioni del prodotto interessate

Prodotto

Versione

Piattaforma

Adobe Connect

9.6.2 e versioni precedenti

Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto

Versione

Piattaforma

Priorità

Disponibilità

Adobe Connect

9.7

Tutte

3

Nota:

Adobe Connect 9.7 verrà lanciato nelle fasi seguenti:
Servizi in hosting: a partire dal 10 novembre 2017; gli utenti possono controllare la pianificazione della migrazione per l'account personale qui.
Distribuzioni on-premise: a partire dal 17 novembre 2017
Managed Services: gli utenti devono contattare il loro responsabile Adobe Connect Managed Services per pianificare l'aggiornamento.

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Codice CVE

Server-side request forgery (SSRF)

Aggiramento dei controlli di accesso alla rete

Critica

CVE-2017-11291

Cross-site scripting riflesso

Divulgazione di informazioni

Importante

CVE-2017-11287

Cross-site scripting riflesso

Divulgazione di informazioni

Importante

CVE-2017-11288

Cross-site scripting riflesso

Divulgazione di informazioni

Importante

CVE-2017-11289

UI redressing (o clickjacking)

Divulgazione di informazioni

Importante

CVE-2017-11290

Ringraziamenti

Adobe desidera ringraziare i singoli utenti seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Adam Willard di Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK di Biznet Bilisim A.S (CVE-2017-11291)
Logo Adobe

Accedi al tuo account