Bulletin-id
Beveiligingsupdates beschikbaar voor Adobe Connect | APSB17-35
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB17-35 |
14 november 2017 |
3 |
Samenvatting
Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Connect. Deze update verhelpt een kritieke SSRF-kwetsbaarheid (Server-Side Request Forgery) (CVE-2017-11291) die kan worden misbruikt om de besturingselementen van de netwerktoegang te omzeilen. Deze update verhelpt ook drie kwetsbaarheden van de invoervalidatie met de classificering Belangrijk (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) die kunnen worden gebruikt in aanvallen waarbij scripts verwijzen naar andere sites. Tot slot bevat deze update een functie waarmee Connect-beheerders gebruikers kunnen beschermen tegen UI-herindelingsaanvallen (of clickjacking) (CVE-2017-11290).
Van toepassing op de volgende productversies
Product |
Versie |
Platform |
---|---|---|
Adobe Connect |
9.6.2 en eerder |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
---|---|---|---|---|
Adobe Connect |
9.7 |
Alles |
3 |
Adobe Connect 9.7 wordt geïmplementeerd in de volgende fasen:
Gehoste services: vanaf 10 november 2017; bekijk hier de migratieplanning voor uw account.
Implementaties op locatie: vanaf 17 november 2017
Beheerde services: neem contact op met uw vertegenwoordiger voor beheerde services van Adobe Connect om uw update te plannen.
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummer |
---|---|---|---|
Server-Side Request Forgery (SSRF) |
Omzeilen van netwerktoegangsbeheer |
Kritiek |
CVE-2017-11291 |
Scripts die verwijzen naar andere sites |
Openbaarmaking van informatie |
Belangrijk |
CVE-2017-11287 |
Scripts die verwijzen naar andere sites |
Openbaarmaking van informatie |
Belangrijk |
CVE-2017-11288 |
Scripts die verwijzen naar andere sites |
Openbaarmaking van informatie |
Belangrijk |
CVE-2017-11289 |
UI-herindeling (of clickjacking) |
Openbaarmaking van informatie |
Belangrijk |
CVE-2017-11290 |
Dankbetuigingen
Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:
- Adam Willard van Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK van Biznet Bilisim A.S (CVE-2017-11291)