Adobe Connect 用のセキュリティアップデート | APSB17-35
情報 ID 公開日 優先度
APSB17-35 2017 年 11 月 14 日 3

要約

Adobe Connect 用のセキュリティアップデートが公開されました。このアップデートは、ネットワークアクセス制御を迂回に悪用される可能性がある重要な SSRF(Server-Side Request Forgery)の脆弱性(CVE-2017-11291)を解決します。また、このアップデートでは、クロスサイトスクリプティング反射攻撃に使用される恐れがある重大な3つの入力検証の脆弱性(CVE-2017-11287、CVE-2017-11288、CVE-2017-11289)も解決します。最後に、このアップデートには、Connect 管理者が UI redressing 攻撃(またはクリックジャック攻撃)からユーザーを保護できる機能が組み込まれています(CVE-2017-11290)。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Connect 9.6.2 以前 すべて

解決方法

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 バージョン プラットフォーム 優先度 入手方法
Adobe Connect 9.7 すべて 3 リリースノート

注意:

Adobe Connect 9.7 は、以下のフェーズで展開されます。
ホスト型サービス: 2017 年 11 月 10 日以降、アカウントの移行スケジュールをこちらでご確認ください。
オンプレミス導入: 2017年11月17日より開始
管理対象サービス:アップデートのスケジュールについては、Adobe Connect 管理サービス担当者にお問い合わせください。

脆弱性の詳細

脆弱性のカテゴリー 脆弱性の影響 重大度 CVE 番号
サーバー側要求偽造(SSRF) ネットワークアクセス制御バイパス クリティカル CVE-2017-11291
反映されたクロスサイトスクリプティング 情報開示
重度 CVE-2017-11287
反映されたクロスサイトスクリプティング 情報開示
重度
CVE-2017-11288
反映されたクロスサイトスクリプティング 情報開示 重度 CVE-2017-11289
UI Redressing (またはクリックジャック) 情報開示 重度 CVE-2017-11290

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Blue Canopy の Adam Willard 氏(CVE-2017-11289)
  • Alexis Laborier 氏(CVE-2017-11287)
  • Pedro Cardoso 氏(CVE-2017-11288)
  • Biznet Bilisim A.S の Deniz CEVIK 氏(CVE-2017-11291)