Beveiligingsadviezen van Adobe

Beveiligingsupdates beschikbaar voor Adobe Connect | APSB17-35

Bulletin-id

Publicatiedatum

Prioriteit

APSB17-35

14 november 2017

3

Samenvatting

Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Connect. Deze update verhelpt een kritieke SSRF-kwetsbaarheid (Server-Side Request Forgery) (CVE-2017-11291) die kan worden misbruikt om de besturingselementen van de netwerktoegang te omzeilen. Deze update verhelpt ook drie kwetsbaarheden van de invoervalidatie met de classificering Belangrijk (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) die kunnen worden gebruikt in aanvallen waarbij scripts verwijzen naar andere sites. Tot slot bevat deze update een functie waarmee Connect-beheerders gebruikers kunnen beschermen tegen UI-herindelingsaanvallen (of clickjacking) (CVE-2017-11290).

Van toepassing op de volgende productversies

Product

Versie

Platform

Adobe Connect

9.6.2 en eerder

Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:

Product

Versie

Platform

Prioriteit

Beschikbaarheid

Adobe Connect

9.7

Alles

3

Opmerking:

Adobe Connect 9.7 wordt geïmplementeerd in de volgende fasen:
Gehoste services: vanaf 10 november 2017; bekijk hier de migratieplanning voor uw account.
Implementaties op locatie: vanaf 17 november 2017
Beheerde services: neem contact op met uw vertegenwoordiger voor beheerde services van Adobe Connect om uw update te plannen.

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

CVE-nummer

Server-Side Request Forgery (SSRF)

Omzeilen van netwerktoegangsbeheer

Kritiek

CVE-2017-11291

Scripts die verwijzen naar andere sites

Openbaarmaking van informatie

Belangrijk

CVE-2017-11287

Scripts die verwijzen naar andere sites

Openbaarmaking van informatie

Belangrijk

CVE-2017-11288

Scripts die verwijzen naar andere sites

Openbaarmaking van informatie

Belangrijk

CVE-2017-11289

UI-herindeling (of clickjacking)

Openbaarmaking van informatie

Belangrijk

CVE-2017-11290

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:

  • Adam Willard van Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK van Biznet Bilisim A.S (CVE-2017-11291)
Adobe-logo

Aanmelden bij je account