Adoben tietoturvatiedote

Adobe Campaignin tietoturvapäivitys

Julkaisupäivä: 14. helmikuuta 2017

Haavoittuvuuden tunniste: APSB17-06

Prioriteetti 3

CVE-numerot: CVE-2017-2968 ja CVE-2017-2969

Ympäristö: Windows ja Linux

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Windowsin ja Linuxin Adobe Campaign 6.11:een.  Päivitys ratkaisee keskitärkeän tietoturvan ohitushaavoittuvuuden Adobe Campaignin asiaskonsolissa.  Todennettu käyttäjä, jolla on asiakaskonsolin käyttöoikeus, voi ladata järjestelmään ja suorittaa vahingollisen tiedoston, mikä voi johtaa järjestelmän luku- ja kirjoitusoikeuksien saamiseen (CVE-2017-2968). Päivitys ratkaisee keskitärkeän syötteen tarkistusongelman, jota voidaan hyödyntää XSS-hyökkäyksissä (CVE-2017-2969).

Versiot

Tuote Versio, jota haavoittuvuus koskee Ympäristö
Adobe Campaign 6.11
Versio 16.4, koontiversio 8724 ja aiemmat versiot Windows ja Linux

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Saatavuus
Adobe Campaign 6.11 Versio 16.8, koontiversio 8757 ja uudemmat versiot
Windows ja Linux 3 Julkaisutiedot
  • Uusimman koontiversion latausohjeet ovat usein kysytyissä kysymyksissä.
  • Asiakkaille, joilla on Adobe Campaign -versio 16.4, koontiversio 8724, tai aiempi versio, on ohjeet haavoittuvuuden CVE-2017-2968 ratkaisemista varten rajoittamalla järjestelmään ladattavissa olevia tiedostotyyppejä  ohjesivulla.
  • Tällä ohjesivulla on ohjeita Adobe Campaign -palvelimen päivittämistä varten ja tällä ohjesivulla asiakaskonsolin päivittämistä varten.

Lisätietoja haavoittuvuuksista

  • Päivitys ratkaisee Adobe Campaignin keskitärkeän tietoturvan ohitusongelman, jota hyödyntämällä todennettu käyttäjä voi saada asiakaskonsolin käyttöoikeuden. Haavoittuvuuden onnistunut hyödyntäminen voi johtaa luku- ja kirjoitusoikeuksien saamiseen järjestelmään (CVE-2017-2968).
  • Päivitys ratkaisee keskitärkeän syötteen tarkistusongelman, jota voidaan hyödyntää XSS-hyökkäyksissä (CVE-2017-2969).

Kiitokset

Adobe haluaa kiittää NES:n Léa NUELia näistä ongelmista (CVE-2017-2968 ja CVE-2017-2969) ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa.