ID bulletinu
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Connect | APSB17-35
|
Datum zveřejnění |
Priorita |
---|---|---|
APSB17-35 |
14. listopadu 2017 |
3 |
Shrnutí
Společnost Adobe zveřejnila aktualizaci zabezpečení pro aplikaci Adobe Connect. Tato aktualizace řeší závažné narušení zabezpečení SSRF (Server-Side Request Forgery) (CVE-2017-11291), které by bylo možné zneužít k převzetí kontroly nad přístupem v síti. Tato aktualizace řeší také tři narušení zabezpečení při zadávání údajů označené jako Závažné (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289), které by bylo možné využít k reflektovanému útoku typu XSS (Cross-site scripting). Tato aktualizace navíc přináší funkci, která umožňuje správcům aplikace Connect chránit uživatele před útoky typu „UI redressing“ (clickjacking) (CVE-2017-11290).
Dotčené verze produktu
Produkt |
Verze |
Platforma |
---|---|---|
Adobe Connect |
9.6.2 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
---|---|---|---|---|
Adobe Connect |
9.7 |
Vše |
3 |
Aplikace Adobe Connect 9.7 bude představena v následujících fázích:
Hostované služby: od 10. listopadu 2017; plán migrace pro váš účet si můžete ověřit zde.
Nasazení na pracovišti: od 17. listopadu 2017
Spravované služby: s žádostí o naplánování aktualizace se obraťte na svého správce spravovaných služeb Adobe Connect.
Podrobnosti o chybě zabezpečení
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Číslo CVE |
---|---|---|---|
SSRF (Server-Side Request Forgery) |
Převzetí kontroly nad přístupem v síti |
Kritická |
CVE-2017-11291 |
Reflektovaný útok XSS |
Poskytování informací |
Důležité |
CVE-2017-11287 |
Reflektovaný útok XSS |
Poskytování informací |
Důležitá |
CVE-2017-11288 |
Reflektovaný útok XSS |
Poskytování informací |
Důležitá |
CVE-2017-11289 |
UI Redress (clickjacking) |
Poskytování informací |
Důležitá |
CVE-2017-11290 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:
- Adam Willard ze společnosti Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK ze společnosti Biznet Bilisim A.S (CVE-2017-11291)