Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń dla programu Adobe Connect | APSB17-35

ID biuletynu

Data publikacji

Priorytet

APSB17-35

14 listopada 2017 r.

3

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń dla programu Adobe Connect. Ta aktualizacja usuwa krytyczną lukę (CVE-2017-11291) umożliwiającą fałszowanie żądań po stronie serwera (Server-Side Request Forgery, SSRF), którą można wykorzystać do obejścia kontroli dostępu do sieci. Ta aktualizacja usuwa również trzy luki dotyczące sprawdzania poprawności danych wejściowych ocenione jako istotne (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289), które można wykorzystać w atakach typu reflected XSS. Ponadto ta aktualizacja zawiera funkcję umożliwiającą administratorom programu Connect ochronę użytkowników przed atakami typu UI Redressing (inaczej clickjacking — wykorzystywanie kliknięć) (CVE-2017-11290).

Wersje produktu, których dotyczy problem

Produkt

Wersja

Platforma

Adobe Connect

9.6.2 i starsze wersje

Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt

Wersja

Platforma

Priorytet

Dostępność

Adobe Connect

9.7

Wszystkie

3

Uwaga:

Program Adobe Connect 9.7 jest udostępniany w następujących fazach:
Usługi hostowane: od 10 listopada 2017. Sprawdź tutaj harmonogram migracji dla swojego konta.
Wdrożenia lokalne: od 17 listopada 2017
Usługi zarządzane: skontaktuj się z obsługującym Cię specjalistą ds. usług zarządzanych Adobe Connect, aby zaplanować aktualizację.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ostrość

Numer CVE

Fałszowanie żądań po stronie serwera (SSRF)

Obejście kontroli dostępu do sieci

Krytyczna

CVE-2017-11291

Reflected XSS

Ujawnienie informacji

Istotna

CVE-2017-11287

Reflected XSS

Ujawnienie informacji

Istotna

CVE-2017-11288

Reflected XSS

Ujawnienie informacji

Istotna

CVE-2017-11289

UI Redressing (inaczej clickjacking — wykorzystywanie kliknięć)

Ujawnienie informacji

Istotna

CVE-2017-11290

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe na rzecz bezpieczeństwa naszych klientów:

  • Adam Willard z Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK z Biznet Bilisim A.S (CVE-2017-11291)
Logo Adobe

Zaloguj się na swoje konto