Sikkerhetsoppdateringer tilgjengelig for Adobe Connect | APSB17-35
Bulletin-ID Dato publisert Prioritet
APSB17-35 tirsdag 14. november 2017 3

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Connect. Denne oppdateringen løser et kritisk sikkerhetsproblem med forfalskning av forespørsel på serversiden (Server-Side Request Forgery=SSRF) (CVE-2017-11291) som kan misbrukes for å omgå tilgangskontroll for nettverk. Denne oppdateringen løser også tre viktige sikkerhetsproblemer med inndatavalidering (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) som kan brukes i gjenspeilede skriptangrep på tvers av nettsteder. Denne oppdateringen inkluderer også en funksjon som lar Connect-administratorer beskytte brukere mot angrep med endring av brukergrensesnittet (eller clickjacking) (CVE-2017-11290).

Berørte produktversjoner

Produkt Versjon Plattform
Adobe Connect 9.6.2 og eldre versjoner Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt Versjon Plattform Prioritet Tilgjengelighet
Adobe Connect 9.7 Alle 3 Produktmerknad

Merk:

Adobe Connect 9.7 distribueres i følgende faser:
Vertsbaserte tjenester: Starter 10. november 2017. Kontroller tidsplanen for overføring for kontoen din her.
Lokale distribusjoner: Starter 17. november 2017
Administrerte tjenester: Kontakt din representant for administrerte Adobe Connect-tjenester for å planlegge oppdateringen.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Forfalskning av forespørsler på serversiden (Server-Side Request Forgery=SSRF) Omgåelse av tilgangskontroll for nettverk Kritisk CVE-2017-11291
Gjenspeilet skripting på tvers av nettsteder Avsløring av informasjon
Viktig CVE-2017-11287
Gjenspeilet skripting på tvers av nettsteder Avsløring av informasjon
Viktig
CVE-2017-11288
Gjenspeilet skripting på tvers av nettsteder Avsløring av informasjon Viktig CVE-2017-11289
Endring av brukergrensesnittet (eller Clickjacking) Avsløring av informasjon Viktig CVE-2017-11290

Takk

Adobe takker følgende personer for at de rapporterte disse problemene og samarbeidet med Adobe for å bidra til å beskytte våre kunder:

  • Adam Willard fra Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK fra Biznet Bilisim A.S (CVE-2017-11291)