Bulletin-ID
Sidst opdateret den
5. maj 2021
|
Gælder også for Adobe Connect
Sikkerhedsopdateringer til Adobe Connect | APSB17-35
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB17-35 |
14. november 2017 |
3 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Connect. Denne opdatering løser et kritisk sikkerhedsproblem med Server-Side Request Forgery (SSRF) (CVE-2017-11291), der kan udnyttes til at omgå netværksadgangskontrollen. Denne opdatering løser tre sikkerhedsproblemer med input-validering, der vurderes som vigtige (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289), og som kan bruges til reflekterede cross-site scripting-angreb (XSS). Endelig indeholder denne opdatering en funktion, som gør Connect-administratorer i stand til at beskytte brugerne mod "UI-redressing" (eller "clickjacking")-angreb (CVE-2017-11290).
Berørte produktversioner
|
Produkt |
Version |
Platform |
|---|---|---|
|
Adobe Connect |
9.6.2 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:
|
Produkt |
Version |
Platform |
Prioritet |
Tilgængelighed |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Alle |
3 |
Bemærk:
Adobe Connect 9.7 rulles ud i følgende faser:
Værtstjenester: Starter 10. november 2017; tjek migreringsplanen for din kontoher.
On-premise-installationer: Starter 17. november 2017
Administrerede tjenester: Kontakt din repræsentant for Adobe Connect-administrerede tjenester med henblik på at planlægge din opdatering.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVE-nummer |
|---|---|---|---|
|
Server-Side Request Forgery (SSRF) |
Omgåelse af netværksadgangskontrol |
Kritisk |
CVE-2017-11291 |
|
Reflekteret cross-site scripting (XSS) |
Afsløring af oplysninger |
Vigtig |
CVE-2017-11287 |
|
Reflekteret cross-site scripting (XSS) |
Afsløring af oplysninger |
Vigtig |
CVE-2017-11288 |
|
Reflekteret cross-site scripting (XSS) |
Afsløring af oplysninger |
Vigtig |
CVE-2017-11289 |
|
UI Redress (eller "Clickjacking") |
Afsløring af oplysninger |
Vigtig |
CVE-2017-11290 |
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Adam Willard fra Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK fra Biznet Bilisim A.S (CVE-2017-11291)
