Adobe Campaign に関するセキュリティアップデート公開

リリース日: 2017 年 2 月 14 日

脆弱性識別番号: APSB17-06

優先度: 3

CVE 番号: CVE-2017-2968、CVE-2017-2969

プラットフォーム: Windows、Linux

概要

Windows 版および Linux 版の Adobe Campaign v6.11 のセキュリティアップデートが公開されました。 このアップデートでは、Adobe Campaign クライアントコンソールに影響を及ぼすやや重大なセキュリティバイパスを解決します。クライアントコンソールにアクセスできる認証済みユーザーは悪意のあるファイルをアップロードして実行する可能性があるため、システムに対する読み書きアクセス権限が発生する可能性があります(CVE-2017-2968)。 また、このアップデートでは、クロスサイトスクリプティング攻撃で使用されるやや重要な入力検証に関する問題も解消されます(CVE-2017-2969)。

対象のバージョン

製品名 影響を受けるバージョン プラットフォーム
Adobe Campaign v6.11
16.4 ビルド 8724 以前のバージョン Windows および Linux

解決方法

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデート後のバージョン プラットフォーム 優先度評価 入手方法
Adobe Campaign v6.11 16.8 ビルド 8757 以降のバージョン
Windows および Linux 3 リリースノート
  • 最新ビルドのダウンロード手順については、FAQ を参照してください。
  • Adobe Campaign 16.4 ビルド 8724 以前をご使用のお客様は、ドキュメントページを参照し、ファイル種別でアップデートを制限して CVE-2017-2968 を解決する手順をご覧ください。
  • Adobe Campaign サーバーのアップグレードに関するサポートについてはこの文書ページをご覧ください。また、クライアントコンソールのアップグレードに関するサポートについてはこの文書ページをご覧ください。

脆弱性に関する詳細

  • このアップデートでは、クライアントコンソールへのアクセス権のある認証済みユーザーによって悪用される恐れのある、Adobe Campaign に影響を及ぼすやや重大なセキュリティバイパスを解消します悪用されると、システムへの読み書きアクセスが発生する可能性があります(CVE-2017-2968)。
  • このアップデートでは、クロスサイトスクリプティング攻撃で使用されるやや重要な入力検証に関する問題が解消されます(CVE-2017-2969)。

謝辞

アドビは、これらの問題(CVE-2017-2968 および CVE-2017-2969)を指摘し、ユーザーの保護にご協力いただいた NES の Léa NUEL 氏にアドビより厚く御礼を申し上げます。