ID del boletín
Actualizaciones de seguridad disponibles para Adobe Connect | APSB17-35
|
Fecha de publicación |
Prioridad |
---|---|---|
APSB17-35 |
14 de noviembre de 2017 |
3 |
Resumen
Adobe ha publicado una actualización de seguridad para Adobe Connect. Esta actualización soluciona una vulnerabilidad crítica de falsificación de solicitud del servidor (SSRF) (CVE-2017-11291) que podría ser utilizada incorrectamente para saltarse el control de acceso de la red. Esta actualización también resuelve tres vulnerabilidades de validación de entrada calificadas como importantes (CVE-2017-11287, CVE-2017-11288 y CVE-2017-11289) que se podrían utilizar en ataques mediante secuencias de comandos en sitios cruzados reflejados. Por último, esta actualización ofrece una función que permite a los administradores de Connect proteger a los usuarios contra los ataques de redirección de la interfaz del usuario (o "clickjacking") (CVE-2017-11290).
Versión afectada del producto
Producto |
Versión |
Plataforma |
---|---|---|
Adobe Connect |
9.6.2 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
---|---|---|---|---|
Adobe Connect |
9.7 |
Todas |
3 |
Adobe Connect 9.7 se presenta en las siguientes fases:
Servicios alojados: a partir del 10 de noviembre del 2017. Consulta la programación de migración de tu cuenta en esta página.
Implementaciones in situ: a partir del 17 de noviembre del 2017.
Servicios gestionados: ponte en contacto con el representante de servicios gestionados de Adobe Connect para programar la actualización.
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Número CVE |
---|---|---|---|
Falsificación de solicitud del servidor (SSRF) |
Evasión del control de acceso de la red |
Crítico |
CVE-2017-11291 |
Ataques mediante secuencias de comandos en sitios cruzados reflejados |
Divulgación de información |
Importante |
CVE-2017-11287 |
Ataques mediante secuencias de comandos en sitios cruzados reflejados |
Divulgación de información |
Importante |
CVE-2017-11288 |
Ataques mediante secuencias de comandos en sitios cruzados reflejados |
Divulgación de información |
Importante |
CVE-2017-11289 |
Redirección de la interfaz del usuario (o "clickjacking") |
Divulgación de información |
Importante |
CVE-2017-11290 |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Adam Willard de Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz Cevik de Biznet Bilisim A.S (CVE-2017-11291)