Dostępna aktualizacja zabezpieczeń dla programu Adobe Connect | APSB17-35
ID biuletynu Data publikacji Priorytet
APSB17-35 14 listopada 2017 r. 3

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń dla programu Adobe Connect. Ta aktualizacja usuwa krytyczną lukę (CVE-2017-11291) umożliwiającą fałszowanie żądań po stronie serwera (Server-Side Request Forgery, SSRF), którą można wykorzystać do obejścia kontroli dostępu do sieci. Ta aktualizacja usuwa również trzy luki dotyczące sprawdzania poprawności danych wejściowych ocenione jako istotne (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289), które można wykorzystać w atakach typu reflected XSS. Ponadto ta aktualizacja zawiera funkcję umożliwiającą administratorom programu Connect ochronę użytkowników przed atakami typu UI Redressing (inaczej clickjacking — wykorzystywanie kliknięć) (CVE-2017-11290).

Wersje produktu, których dotyczy problem

Produkt Wersja Platforma
Adobe Connect 9.6.2 i starsze wersje Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Wersja Platforma Priorytet Dostępność
Adobe Connect 9.7 Wszystkie 3 Informacje o wersji

Uwaga:

Program Adobe Connect 9.7 jest udostępniany w następujących fazach:
Usługi hostowane: od 10 listopada 2017. Sprawdź tutaj harmonogram migracji dla swojego konta.
Wdrożenia lokalne: od 17 listopada 2017
Usługi zarządzane: skontaktuj się z obsługującym Cię specjalistą ds. usług zarządzanych Adobe Connect, aby zaplanować aktualizację.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ostrość Numer CVE
Fałszowanie żądań po stronie serwera (SSRF) Obejście kontroli dostępu do sieci Krytyczna CVE-2017-11291
Reflected XSS Ujawnienie informacji
Istotna CVE-2017-11287
Reflected XSS Ujawnienie informacji
Istotna
CVE-2017-11288
Reflected XSS Ujawnienie informacji Istotna CVE-2017-11289
UI Redressing (inaczej clickjacking — wykorzystywanie kliknięć) Ujawnienie informacji Istotna CVE-2017-11290

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe na rzecz bezpieczeństwa naszych klientów:

  • Adam Willard z Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK z Biznet Bilisim A.S (CVE-2017-11291)