Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Connect | APSB17-35

Référence du bulletin

Date de publication

Priorité 

APSB17-35

14 novembre 2017

3

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Connect. Cette mise à jour corrige une vulnérabilité critique d’usurpation de requête côté serveur (SSRF) (CVE-2017-11291) susceptible d’être exploitée pour contourner les contrôles d’accès réseau. Cette mise à jour corrige également trois vulnérabilités importantes de validation en entrée (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) pouvant faire l’objet d’une injection indirecte de code à distance (XSS réfléchie). Enfin, cette mise à jour comprend une fonction qui permet aux administrateurs Connect de protéger les utilisateurs des attaques par détournement de clic (CVE-2017-11290).

Versions concernées

Produit

Version 

Plate-forme

Adobe Connect

Versions 9.6.2 et antérieures

Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version 

Plate-forme

Priorité 

Disponibilité

Adobe Connect

9.7

Toutes

3

Remarque :

Adobe Connect 9.7 sera déployé selon différentes phases :
Services hébergés : démarrage le 10 novembre 2017 ; vérifiez le calendrier de migration de votre compte ici.
Déploiements sur Site : démarrage le 17 novembre 2017
Services gérés : contactez votre représentant Adobe Connect Managed Services pour planifier votre mise à jour.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Référence CVE

Usurpation de requête côté serveur (SSRF)

Contournement de contrôle d’accès réseau

Critique

CVE-2017-11291

Injection indirecte de code à distance (XSS réfléchie)

Divulgation d’informations

Important

CVE-2017-11287

Injection indirecte de code à distance (XSS réfléchie)

Divulgation d’informations

Important

CVE-2017-11288

Injection indirecte de code à distance (XSS réfléchie)

Divulgation d’informations

Important

CVE-2017-11289

Détournement de clic

Divulgation d’informations

Important

CVE-2017-11290

Remerciements

Adobe tient à remercier les personnes suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour assurer la sécurité de nos clients :

  • Adam Willard de Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK de Biznet Bilisim A.S (CVE-2017-11291)

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?