Adoben tietoturvatiedote

Adobe Connectin tietoturvapäivitys saatavana | APSB17-35

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB17-35

14. marraskuuta 2017

3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Connectiin. Tämä päivitys ratkaisee kriittisen palvelinpuolen pyynnön väärennös (SSRF) -haavoittuvuuden (CVE-2017-11291), jota voitaisiin käyttää verkon käytönvalvonnan ohittamiseen. Tämä päivitys ratkaisee myös kolme syötteen tarkistuksen haavoittuvuutta, jotka on luokiteltu tärkeiksi (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) ja joita voitaiisiin käyttää heijastetuissa sivustojen välisillä komentosarjoilla suoritettavissa hyökkäyksissä. Tämän lisäksi päivitys sisältää ominaisuuden, joka antaa Connect-järjestelmänvalvojille mahdollisuuden suojata käyttäjät käyttöliittymän muuntamisen avulla tehtäviltä (tai clickjacking-) hyökkäyksiltä (CVE-2017-11290).

Alttiit tuoteversiot

Tuote

Versio

Ympäristö

Adobe Connect

9.6.2 ja aiemmat versiot

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Versio

Ympäristö

Prioriteetti

Saatavuus

Adobe Connect

9.7

Kaikki

3

Huomautus:

Adobe Connect 9.7 otetaan käyttöön seuraavissa vaiheissa:
Isännöidyt palvelut: 10.11.2017 alkaen; tarkista oman tilisi käyttöönottoaikataulu tästä.
Asiakkaan omissa tiloissa sijaitsevat kokoonpanot: 17.11.2017 alkaen
Hallinnoidut palvelut: ota yhteys Adobe Connectin hallinnoitujen palvelujen edustajaan ja sovi päivityksestä.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVE-numero

Palvelinpuolen pyynnön väärennös (SSRF)

Verkon käytönvalvonnan ohittaminen

Kriittinen

CVE-2017-11291

Heijastetut sivustojen väliset komentosarjat

Tietojen paljastuminen

Tärkeä

CVE-2017-11287

Heijastetut sivustojen väliset komentosarjat

Tietojen paljastuminen

Tärkeä

CVE-2017-11288

Heijastetut sivustojen väliset komentosarjat

Tietojen paljastuminen

Tärkeä

CVE-2017-11289

Käyttöliittymän muuntohyökkäys (tai Clickjacking-hyökkäys)

Tietojen paljastuminen

Tärkeä

CVE-2017-11290

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Adam Willard, Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK, Biznet Bilisim A.S (CVE-2017-11291)
Adobe-logo

Kirjaudu sisään tiliisi