ID bollettino
Ultimo aggiornamento il
3 mag 2021
|
Si applica anche a Adobe Connect
Aggiornamenti di sicurezza disponibili per Adobe Connect | APSB17-35
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB17-35 |
14 novembre 2017 |
3 |
Riepilogo
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect. Questo aggiornamento risolve una vulnerabilità critica di tipo server-site request forgery (SSRF) (CVE-2017-11291) che potrebbe essere sfruttata per aggirare i controlli di accesso alla rete. Questo aggiornamento risolve anche tre vulnerabilità importanti di convalida dell'input (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) che potrebbero essere utilizzate in attacchi di cross-site scripting riflesso. Infine, questo aggiornamento include una funzione che consente agli amministratori di Adobe Connect di proteggere gli utenti da attacchi di UI redressing (o clickjacking) (CVE-2017-11290).
Versioni del prodotto interessate
|
Prodotto |
Versione |
Piattaforma |
|---|---|---|
|
Adobe Connect |
9.6.2 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
|
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Tutte |
3 |
Nota:
Adobe Connect 9.7 verrà lanciato nelle fasi seguenti:
Servizi in hosting: a partire dal 10 novembre 2017; gli utenti possono controllare la pianificazione della migrazione per l'account personale qui.
Distribuzioni on-premise: a partire dal 17 novembre 2017
Managed Services: gli utenti devono contattare il loro responsabile Adobe Connect Managed Services per pianificare l'aggiornamento.
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Codice CVE |
|---|---|---|---|
|
Server-side request forgery (SSRF) |
Aggiramento dei controlli di accesso alla rete |
Critica |
CVE-2017-11291 |
|
Cross-site scripting riflesso |
Divulgazione di informazioni |
Importante |
CVE-2017-11287 |
|
Cross-site scripting riflesso |
Divulgazione di informazioni |
Importante |
CVE-2017-11288 |
|
Cross-site scripting riflesso |
Divulgazione di informazioni |
Importante |
CVE-2017-11289 |
|
UI redressing (o clickjacking) |
Divulgazione di informazioni |
Importante |
CVE-2017-11290 |
Ringraziamenti
Adobe desidera ringraziare i singoli utenti seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Adam Willard di Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK di Biznet Bilisim A.S (CVE-2017-11291)
