Beveiligingsupdate beschikbaar voor Adobe Campaign

Releasedatum: 14 februari 2017

ID kwetsbaarheidsprobleem: APSB17-06

Prioriteit: 3

CVE-nummer: CVE-2017-2968, CVE-2017-2969

Platform: Windows en Linux

Samenvatting

Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Campaign v6.11 voor Windows en Linux.  Deze update verhelpt een gematigde beveiligingsomzeiling die invloed heeft op de Adobe Campaign-clientconsole.  Een geverifieerde gebruiker met toegang tot de clientconsole kan een schadelijk bestand uploaden en uitvoeren, wat mogelijk leidt tot lees- en schrijftoegang tot het systeem (CVE-2017-2968). Deze update verhelpt een gematigd probleem met validatie van invoer dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites) (CVE-2017-2969).

Van toepassing op de volgende versies

Product Getroffen versie Platform
Adobe Campaign v6.11
16.4 Build 8724 en eerdere versies Windows en Linux

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de nieuwste versie:

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Beschikbaarheid
Adobe Campaign v6.11 16.8 Build 8757 en latere versies
Windows en Linux 3 Releaseopmerkingen
  • Klanten kunnen de veelgestelde vragen raadplegen voor instructies over het downloaden van de nieuwste build.
  • Klanten met Adobe Campaign 16.4 Build 8724 en eerder kunnen de documentatiepagina raadplegen voor instructies voor het oplossen van CVE-2017-2968 door het uploaden van bepaalde bestandstypen te beperken.
  • Raadpleeg deze documentatiepagina voor ondersteuning bij het upgraden van de Adobe Campaign-server en raadpleeg deze documentatiepagina voor ondersteuning bij het upgraden van de clientconsole.

Details van kwetsbaarheid

  • Deze update verhelpt een gematigde beveiligingsomzeiling die invloed heeft op Adobe Campaign, die kan worden gebruikt door een geverifieerde gebruiker met toegang tot de clientconsole. Het gebruik kan leiden tot lees- en schrijftoegang tot het systeem (CVE-2017-2968).
  • Deze update verhelpt een gematigd probleem met validatie van invoer dat kan worden gebruikt in XSS-aanvallen (cross-site scripting; scripts op meerdere websites) (CVE-2017-2969).

Dankbetuigingen

Adobe dankt Léa NUEL van NES voor het melden van deze problemen (CVE-2017-2968 en CVE-2017-2969) en voor de samenwerking met Adobe om onze klanten te helpen beschermen.