Tiedotteen tunnus
Adobe Connectin tietoturvapäivitys saatavana | APSB17-35
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
APSB17-35 |
14. marraskuuta 2017 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Connectiin. Tämä päivitys ratkaisee kriittisen palvelinpuolen pyynnön väärennös (SSRF) -haavoittuvuuden (CVE-2017-11291), jota voitaisiin käyttää verkon käytönvalvonnan ohittamiseen. Tämä päivitys ratkaisee myös kolme syötteen tarkistuksen haavoittuvuutta, jotka on luokiteltu tärkeiksi (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) ja joita voitaiisiin käyttää heijastetuissa sivustojen välisillä komentosarjoilla suoritettavissa hyökkäyksissä. Tämän lisäksi päivitys sisältää ominaisuuden, joka antaa Connect-järjestelmänvalvojille mahdollisuuden suojata käyttäjät käyttöliittymän muuntamisen avulla tehtäviltä (tai clickjacking-) hyökkäyksiltä (CVE-2017-11290).
Alttiit tuoteversiot
Tuote |
Versio |
Ympäristö |
---|---|---|
Adobe Connect |
9.6.2 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
---|---|---|---|---|
Adobe Connect |
9.7 |
Kaikki |
3 |
Adobe Connect 9.7 otetaan käyttöön seuraavissa vaiheissa:
Isännöidyt palvelut: 10.11.2017 alkaen; tarkista oman tilisi käyttöönottoaikataulu tästä.
Asiakkaan omissa tiloissa sijaitsevat kokoonpanot: 17.11.2017 alkaen
Hallinnoidut palvelut: ota yhteys Adobe Connectin hallinnoitujen palvelujen edustajaan ja sovi päivityksestä.
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVE-numero |
---|---|---|---|
Palvelinpuolen pyynnön väärennös (SSRF) |
Verkon käytönvalvonnan ohittaminen |
Kriittinen |
CVE-2017-11291 |
Heijastetut sivustojen väliset komentosarjat |
Tietojen paljastuminen |
Tärkeä |
CVE-2017-11287 |
Heijastetut sivustojen väliset komentosarjat |
Tietojen paljastuminen |
Tärkeä |
CVE-2017-11288 |
Heijastetut sivustojen väliset komentosarjat |
Tietojen paljastuminen |
Tärkeä |
CVE-2017-11289 |
Käyttöliittymän muuntohyökkäys (tai Clickjacking-hyökkäys) |
Tietojen paljastuminen |
Tärkeä |
CVE-2017-11290 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Adam Willard, Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK, Biznet Bilisim A.S (CVE-2017-11291)