Adobe-Sicherheitsbulletin

Suchen
Benutzerhandbuch

Auf dieser Seite

Gilt für: Connect
Sicherheits-Updates für Adobe Connect | APSB17-35
Bulletin-ID Veröffentlichungsdatum Priorität
APSB17-35 14. November 2017 3

Zusammenfassung

Adobe hat ein Sicherheits-Update für Adobe Connect veröffentlicht. Dieses Update behebt eine kritische SSRF(Server-Side Request Forgery)-Sicherheitslücke (CVE-2017-11291), die missbraucht werden könnte, um Netzwerkzugriffsteuerung zu umgehen. Dieses Update schließt außerdem drei als wichtig eingestufte Sicherheitslücken bei der Eingabevalidierung (CVE-2017-11287, CVE 2017-11288, CVE-2017-11289), die bei reflektierten Cross-Site-Scripting-Angriffen verwendet werden könnten. Außerdem umfasst dieses Update eine Funktion, mit der Connect-Administratoren Benutzer vor UI-Redressing-Angriffen (oder Clickjacking) schützen können (CVE-2017-11290).

Betroffene Produktversionen

Produkt Version Plattform
Adobe Connect 9.6.2 und früher Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Version Plattform Priorität Verfügbarkeit
Adobe Connect 9.7 Alle 3 Versionshinweise

Hinweis:

Adobe Connect 9.7 wird in den folgenden Phasen eingeführt:
Gehostete Dienste: Ab dem 10. November 2017); Informationen zum Migrationszeitplan für Ihr Konto finden Sie hier.
Lokale Bereitstellungen: Ab dem 17. November 2017
Verwaltete Dienste: Wenden Sie sich zur Planung Ihrer Aktualisierung an Ihren Vertreter für Adobe Connect Managed Services.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Server-Side Request Forgery (SSRF) Umgehung der Netzwerkzugriffsteuerung Kritisch CVE-2017-11291
Reflektiertes Cross-Site-Scripting Offenlegung von Informationen
 Wichtig CVE-2017-11287
Reflektiertes Cross-Site-Scripting Offenlegung von Informationen
 Wichtig
 CVE-2017-11288
Reflektiertes Cross-Site-Scripting Offenlegung von Informationen Wichtig CVE-2017-11289
UI-Redressing (oder Clickjacking) Offenlegung von Informationen Wichtig CVE-2017-11290

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und ihren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Adam Willard von Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK von Biznet Bilisim A.S (CVE-2017-11291)
Region wählen

Durch Auswahl einer Region ändert sich die Sprache und ggf. der Inhalt auf Adobe.com.

Americas
Brasil
Canada - English
Canada - Français
Latinoamérica
México
United States
Europe, Middle East and Africa
Africa - English
Belgique - Français
Belgium - English
België - Nederlands
Česká republika
Cyprus - English
Danmark
Deutschland
Eesti
España
France
Greece - English
Ireland
Israel - English
Italia
Latvija
Lietuva
Luxembourg - Deutsch
Luxembourg - English
Luxembourg - Français
Magyarország
Malta - English
Middle East and North Africa - English
Nederland
Norge
Österreich
Polska
Portugal
România
Schweiz
Slovenija
Slovensko
Suisse
Suomi
Sverige
Svizzera
Türkiye
United Kingdom
България
Россия
Україна
الشرق الأوسط وشمال أفريقيا - اللغة العربية
ישראל - עברית
Asia - Pacific
Australia
Hong Kong S.A.R. of China
India - English
New Zealand
Southeast Asia (Includes Indonesia, Malaysia, Philippines, Singapore, Thailand, and Vietnam) - English
中国
中國香港特別行政區
台灣地區
日本
한국
Commonwealth of Independent States
Includes Armenia, Azerbaijan, Belarus, Georgia, Kazakhstan, Kyrgyzstan, Moldova, Tajikistan, Turkmenistan, Ukraine, Uzbekistan