Actualizări de securitate disponibile pentru Adobe Connect | APSB17-35
ID buletin Data publicării Prioritatea
APSB17-35 14 noiembrie 2017 3

Sumar

Adobe a lansat o actualizare de securitate pentru Adobe Connect. Această actualizare rezolvă o vulnerabilitate importantă de falsificare a solicitărilor de partea serverului (SSRF) (CVE-2017-11291) care ar putea fi utilizată pentru a ocoli controalele de acces la rețea. Actualizarea rezolvă și trei vulnerabilități de validare a intrărilor evaluate ca Importante (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289), care ar putea fi utilizate în atacuri de scriptare reflectată între site-uri. În final, actualizarea include o caracteristică care le permite administratorilor Connect să protejeze utilizatorii de atacurile de deghizare UI (sau clickjacking) (CVE-2017-11290).

Versiunile de produs afectate

Produs Versiunea Platformă
Adobe Connect 9.6.2 și versiunile anterioare Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:

Produs Versiunea Platformă Prioritatea Disponibilitate
Adobe Connect 9.7 Toate 3 Notă de lansare

Notă:

Adobe Connect 9.7 se lansează în următoarele etape:
Servicii găzduite: începând cu 10 noiembrie 2017; consultați programul de migrare pentru contul dvs. aici.
Implementări locale: începând cu 17 noiembrie 2017
Servicii gestionate: contactați reprezentantul de servicii gestionate Adobe Connect pentru a vă planifica actualizarea.

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Număr CVE
Falsificarea solicitărilor de partea serverului (SSRF) Ocolirea controalelor de acces la rețea Critică CVE-2017-11291
Scriptare reflectată între site-uri Divulgarea informațiilor
Importantă CVE-2017-11287
Scriptare reflectată între site-uri Divulgarea informațiilor
Importantă
CVE-2017-11288
Scriptare reflectată între site-uri Divulgarea informațiilor Importantă CVE-2017-11289
Deghizare UI (sau clickjacking) Divulgarea informațiilor Importantă CVE-2017-11290

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea acestor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Adam Willard de la Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK de la Biznet Bilisim A.S (CVE-2017-11291)