Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Connect | APSB17-35

Bulletin-ID

Dato publisert

Prioritet

APSB17-35

tirsdag 14. november 2017

3

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Connect. Denne oppdateringen løser et kritisk sikkerhetsproblem med forfalskning av forespørsel på serversiden (Server-Side Request Forgery=SSRF) (CVE-2017-11291) som kan misbrukes for å omgå tilgangskontroll for nettverk. Denne oppdateringen løser også tre viktige sikkerhetsproblemer med inndatavalidering (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) som kan brukes i gjenspeilede skriptangrep på tvers av nettsteder. Denne oppdateringen inkluderer også en funksjon som lar Connect-administratorer beskytte brukere mot angrep med endring av brukergrensesnittet (eller clickjacking) (CVE-2017-11290).

Berørte produktversjoner

Produkt

Versjon

Plattform

Adobe Connect

9.6.2 og eldre versjoner

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

Adobe Connect

9.7

Alle

3

Merk:

Adobe Connect 9.7 distribueres i følgende faser:
Vertsbaserte tjenester: Starter 10. november 2017. Kontroller tidsplanen for overføring for kontoen din her.
Lokale distribusjoner: Starter 17. november 2017
Administrerte tjenester: Kontakt din representant for administrerte Adobe Connect-tjenester for å planlegge oppdateringen.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVE-nummer

Forfalskning av forespørsler på serversiden (Server-Side Request Forgery=SSRF)

Omgåelse av tilgangskontroll for nettverk

Kritisk

CVE-2017-11291

Gjenspeilet skripting på tvers av nettsteder

Avsløring av informasjon

Viktig

CVE-2017-11287

Gjenspeilet skripting på tvers av nettsteder

Avsløring av informasjon

Viktig

CVE-2017-11288

Gjenspeilet skripting på tvers av nettsteder

Avsløring av informasjon

Viktig

CVE-2017-11289

Endring av brukergrensesnittet (eller Clickjacking)

Avsløring av informasjon

Viktig

CVE-2017-11290

Takk

Adobe takker følgende personer for at de rapporterte disse problemene og samarbeidet med Adobe for å bidra til å beskytte våre kunder:

  • Adam Willard fra Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK fra Biznet Bilisim A.S (CVE-2017-11291)

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet