Beveiligingsupdates beschikbaar voor Adobe Connect | APSB17-35
Bulletin-id Publicatiedatum Prioriteit
APSB17-35 14 november 2017 3

Samenvatting

Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Connect. Deze update verhelpt een kritieke SSRF-kwetsbaarheid (Server-Side Request Forgery) (CVE-2017-11291) die kan worden misbruikt om de besturingselementen van de netwerktoegang te omzeilen. Deze update verhelpt ook drie kwetsbaarheden van de invoervalidatie met de classificering Belangrijk (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) die kunnen worden gebruikt in aanvallen waarbij scripts verwijzen naar andere sites. Tot slot bevat deze update een functie waarmee Connect-beheerders gebruikers kunnen beschermen tegen UI-herindelingsaanvallen (of clickjacking) (CVE-2017-11290).

Van toepassing op de volgende productversies

Product Versie Platform
Adobe Connect 9.6.2 en eerder Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:

Product Versie Platform Prioriteit Beschikbaarheid
Adobe Connect 9.7 Alles 3 Opmerking bij de release

Opmerking:

Adobe Connect 9.7 wordt geïmplementeerd in de volgende fasen:
Gehoste services: vanaf 10 november 2017; bekijk hier de migratieplanning voor uw account.
Implementaties op locatie: vanaf 17 november 2017
Beheerde services: neem contact op met uw vertegenwoordiger voor beheerde services van Adobe Connect om uw update te plannen.

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst CVE-nummer
Server-Side Request Forgery (SSRF) Omzeilen van netwerktoegangsbeheer Kritiek CVE-2017-11291
Scripts die verwijzen naar andere sites Openbaarmaking van informatie
Belangrijk CVE-2017-11287
Scripts die verwijzen naar andere sites Openbaarmaking van informatie
Belangrijk
CVE-2017-11288
Scripts die verwijzen naar andere sites Openbaarmaking van informatie Belangrijk CVE-2017-11289
UI-herindeling (of clickjacking) Openbaarmaking van informatie Belangrijk CVE-2017-11290

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:

  • Adam Willard van Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK van Biznet Bilisim A.S (CVE-2017-11291)