ID biuletynu
Ostatnia aktualizacja
20 maj 2021
|
Dotyczy również Adobe Connect
Dostępna aktualizacja zabezpieczeń dla programu Adobe Connect | APSB17-35
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB17-35 |
14 listopada 2017 r. |
3 |
Podsumowanie
Firma Adobe wydała aktualizację zabezpieczeń dla programu Adobe Connect. Ta aktualizacja usuwa krytyczną lukę (CVE-2017-11291) umożliwiającą fałszowanie żądań po stronie serwera (Server-Side Request Forgery, SSRF), którą można wykorzystać do obejścia kontroli dostępu do sieci. Ta aktualizacja usuwa również trzy luki dotyczące sprawdzania poprawności danych wejściowych ocenione jako istotne (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289), które można wykorzystać w atakach typu reflected XSS. Ponadto ta aktualizacja zawiera funkcję umożliwiającą administratorom programu Connect ochronę użytkowników przed atakami typu UI Redressing (inaczej clickjacking — wykorzystywanie kliknięć) (CVE-2017-11290).
Wersje produktu, których dotyczy problem
|
Produkt |
Wersja |
Platforma |
|---|---|---|
|
Adobe Connect |
9.6.2 i starsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
|
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Wszystkie |
3 |
Uwaga:
Program Adobe Connect 9.7 jest udostępniany w następujących fazach:
Usługi hostowane: od 10 listopada 2017. Sprawdź tutaj harmonogram migracji dla swojego konta.
Wdrożenia lokalne: od 17 listopada 2017
Usługi zarządzane: skontaktuj się z obsługującym Cię specjalistą ds. usług zarządzanych Adobe Connect, aby zaplanować aktualizację.
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ostrość |
Numer CVE |
|---|---|---|---|
|
Fałszowanie żądań po stronie serwera (SSRF) |
Obejście kontroli dostępu do sieci |
Krytyczna |
CVE-2017-11291 |
|
Reflected XSS |
Ujawnienie informacji |
Istotna |
CVE-2017-11287 |
|
Reflected XSS |
Ujawnienie informacji |
Istotna |
CVE-2017-11288 |
|
Reflected XSS |
Ujawnienie informacji |
Istotna |
CVE-2017-11289 |
|
UI Redressing (inaczej clickjacking — wykorzystywanie kliknięć) |
Ujawnienie informacji |
Istotna |
CVE-2017-11290 |
Podziękowania
Firma Adobe składa podziękowania następującym osobom za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe na rzecz bezpieczeństwa naszych klientów:
- Adam Willard z Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK z Biznet Bilisim A.S (CVE-2017-11291)
