Bulletin-ID
Sist oppdatert
7. mai 2021
|
Gjelder også for Adobe Connect
Sikkerhetsoppdateringer tilgjengelig for Adobe Connect | APSB17-35
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
APSB17-35 |
tirsdag 14. november 2017 |
3 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Connect. Denne oppdateringen løser et kritisk sikkerhetsproblem med forfalskning av forespørsel på serversiden (Server-Side Request Forgery=SSRF) (CVE-2017-11291) som kan misbrukes for å omgå tilgangskontroll for nettverk. Denne oppdateringen løser også tre viktige sikkerhetsproblemer med inndatavalidering (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) som kan brukes i gjenspeilede skriptangrep på tvers av nettsteder. Denne oppdateringen inkluderer også en funksjon som lar Connect-administratorer beskytte brukere mot angrep med endring av brukergrensesnittet (eller clickjacking) (CVE-2017-11290).
Berørte produktversjoner
|
Produkt |
Versjon |
Plattform |
|---|---|---|
|
Adobe Connect |
9.6.2 og eldre versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
|
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Alle |
3 |
Merk:
Adobe Connect 9.7 distribueres i følgende faser:
Vertsbaserte tjenester: Starter 10. november 2017. Kontroller tidsplanen for overføring for kontoen din her.
Lokale distribusjoner: Starter 17. november 2017
Administrerte tjenester: Kontakt din representant for administrerte Adobe Connect-tjenester for å planlegge oppdateringen.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVE-nummer |
|---|---|---|---|
|
Forfalskning av forespørsler på serversiden (Server-Side Request Forgery=SSRF) |
Omgåelse av tilgangskontroll for nettverk |
Kritisk |
CVE-2017-11291 |
|
Gjenspeilet skripting på tvers av nettsteder |
Avsløring av informasjon |
Viktig |
CVE-2017-11287 |
|
Gjenspeilet skripting på tvers av nettsteder |
Avsløring av informasjon |
Viktig |
CVE-2017-11288 |
|
Gjenspeilet skripting på tvers av nettsteder |
Avsløring av informasjon |
Viktig |
CVE-2017-11289 |
|
Endring av brukergrensesnittet (eller Clickjacking) |
Avsløring av informasjon |
Viktig |
CVE-2017-11290 |
Takk
Adobe takker følgende personer for at de rapporterte disse problemene og samarbeidet med Adobe for å bidra til å beskytte våre kunder:
- Adam Willard fra Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK fra Biznet Bilisim A.S (CVE-2017-11291)
