Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect. Questo aggiornamento risolve una vulnerabilità critica di tipo server-site request forgery (SSRF) (CVE-2017-11291) che potrebbe essere sfruttata per aggirare i controlli di accesso alla rete. Questo aggiornamento risolve anche tre vulnerabilità importanti di convalida dell'input (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) che potrebbero essere utilizzate in attacchi di cross-site scripting riflesso. Infine, questo aggiornamento include una funzione che consente agli amministratori di Adobe Connect di proteggere gli utenti da attacchi di UI redressing (o clickjacking) (CVE-2017-11290).
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto | Versione | Piattaforma | Priorità | Disponibilità |
Adobe Connect | 9.7 | Tutte | 3 | Nota di rilascio |
Nota:
Adobe Connect 9.7 verrà lanciato nelle fasi seguenti:
Servizi in hosting: a partire dal 10 novembre 2017; gli utenti possono controllare la pianificazione della migrazione per l'account personale qui.
Distribuzioni on-premise: a partire dal 17 novembre 2017
Managed Services: gli utenti devono contattare il loro responsabile Adobe Connect Managed Services per pianificare l'aggiornamento.
Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Codice CVE |
Server-side request forgery (SSRF) | Aggiramento dei controlli di accesso alla rete | Critica | CVE-2017-11291 |
Cross-site scripting riflesso | Divulgazione di informazioni |
Importante | CVE-2017-11287 |
Cross-site scripting riflesso | Divulgazione di informazioni |
Importante |
CVE-2017-11288 |
Cross-site scripting riflesso | Divulgazione di informazioni | Importante | CVE-2017-11289 |
UI redressing (o clickjacking) | Divulgazione di informazioni | Importante | CVE-2017-11290 |
Adobe desidera ringraziare i singoli utenti seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Adam Willard di Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK di Biznet Bilisim A.S (CVE-2017-11291)