Adobe Connectin tietoturvapäivitys saatavana | APSB17-35
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB17-35 14. marraskuuta 2017 3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Connectiin. Tämä päivitys ratkaisee kriittisen palvelinpuolen pyynnön väärennös (SSRF) -haavoittuvuuden (CVE-2017-11291), jota voitaisiin käyttää verkon käytönvalvonnan ohittamiseen. Tämä päivitys ratkaisee myös kolme syötteen tarkistuksen haavoittuvuutta, jotka on luokiteltu tärkeiksi (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) ja joita voitaiisiin käyttää heijastetuissa sivustojen välisillä komentosarjoilla suoritettavissa hyökkäyksissä. Tämän lisäksi päivitys sisältää ominaisuuden, joka antaa Connect-järjestelmänvalvojille mahdollisuuden suojata käyttäjät käyttöliittymän muuntamisen avulla tehtäviltä (tai clickjacking-) hyökkäyksiltä (CVE-2017-11290).

Alttiit tuoteversiot

Tuote Versio Ympäristö
Adobe Connect 9.6.2 ja aiemmat versiot Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Versio Ympäristö Prioriteetti Saatavuus
Adobe Connect 9.7 Kaikki 3 Julkaisutiedot

Huomautus:

Adobe Connect 9.7 otetaan käyttöön seuraavissa vaiheissa:
Isännöidyt palvelut: 10.11.2017 alkaen; tarkista oman tilisi käyttöönottoaikataulu tästä.
Asiakkaan omissa tiloissa sijaitsevat kokoonpanot: 17.11.2017 alkaen
Hallinnoidut palvelut: ota yhteys Adobe Connectin hallinnoitujen palvelujen edustajaan ja sovi päivityksestä.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Palvelinpuolen pyynnön väärennös (SSRF) Verkon käytönvalvonnan ohittaminen Kriittinen CVE-2017-11291
Heijastetut sivustojen väliset komentosarjat Tietojen paljastuminen
Tärkeä CVE-2017-11287
Heijastetut sivustojen väliset komentosarjat Tietojen paljastuminen
Tärkeä
CVE-2017-11288
Heijastetut sivustojen väliset komentosarjat Tietojen paljastuminen Tärkeä CVE-2017-11289
Käyttöliittymän muuntohyökkäys (tai Clickjacking-hyökkäys) Tietojen paljastuminen Tärkeä CVE-2017-11290

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Adam Willard, Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK, Biznet Bilisim A.S (CVE-2017-11291)