Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Connect | APSB17-35

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB17-35

14. November 2017

3

Zusammenfassung

Adobe hat ein Sicherheits-Update für Adobe Connect veröffentlicht. Dieses Update behebt eine kritische SSRF(Server-Side Request Forgery)-Sicherheitslücke (CVE-2017-11291), die missbraucht werden könnte, um Netzwerkzugriffsteuerung zu umgehen. Dieses Update schließt außerdem drei als wichtig eingestufte Sicherheitslücken bei der Eingabevalidierung (CVE-2017-11287, CVE 2017-11288, CVE-2017-11289), die bei reflektierten Cross-Site-Scripting-Angriffen verwendet werden könnten. Außerdem umfasst dieses Update eine Funktion, mit der Connect-Administratoren Benutzer vor UI-Redressing-Angriffen (oder Clickjacking) schützen können (CVE-2017-11290).

Betroffene Produktversionen

Produkt

Version

Plattform

Adobe Connect

9.6.2 und früher

Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt

Version

Plattform

Priorität

Verfügbarkeit

Adobe Connect

9.7

Alle

3

Hinweis:

Adobe Connect 9.7 wird in den folgenden Phasen eingeführt:
Gehostete Dienste: Ab dem 10. November 2017); Informationen zum Migrationszeitplan für Ihr Konto finden Sie hier.
Lokale Bereitstellungen: Ab dem 17. November 2017
Verwaltete Dienste: Wenden Sie sich zur Planung Ihrer Aktualisierung an Ihren Vertreter für Adobe Connect Managed Services.

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVE-Nummer

Server-Side Request Forgery (SSRF)

Umgehung der Netzwerkzugriffsteuerung

Kritisch

CVE-2017-11291

Reflektiertes Cross-Site-Scripting

Offenlegung von Informationen

Wichtig

CVE-2017-11287

Reflektiertes Cross-Site-Scripting

Offenlegung von Informationen

Wichtig

CVE-2017-11288

Reflektiertes Cross-Site-Scripting

Offenlegung von Informationen

Wichtig

CVE-2017-11289

UI-Redressing (oder Clickjacking)

Offenlegung von Informationen

Wichtig

CVE-2017-11290

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und ihren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Adam Willard von Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK von Biznet Bilisim A.S (CVE-2017-11291)

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online