ID buletin
Ultima actualizare la
21 mai 2021
|
Se aplică și la Adobe Connect
Actualizări de securitate disponibile pentru Adobe Connect | APSB17-35
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB17-35 |
14 noiembrie 2017 |
3 |
Sumar
Adobe a lansat o actualizare de securitate pentru Adobe Connect. Această actualizare rezolvă o vulnerabilitate importantă de falsificare a solicitărilor de partea serverului (SSRF) (CVE-2017-11291) care ar putea fi utilizată pentru a ocoli controalele de acces la rețea. Actualizarea rezolvă și trei vulnerabilități de validare a intrărilor evaluate ca Importante (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289), care ar putea fi utilizate în atacuri de scriptare reflectată între site-uri. În final, actualizarea include o caracteristică care le permite administratorilor Connect să protejeze utilizatorii de atacurile de deghizare UI (sau clickjacking) (CVE-2017-11290).
Versiunile de produs afectate
|
Produs |
Versiunea |
Platformă |
|---|---|---|
|
Adobe Connect |
9.6.2 și versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:
|
Produs |
Versiunea |
Platformă |
Prioritatea |
Disponibilitate |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Toate |
3 |
Notă:
Adobe Connect 9.7 se lansează în următoarele etape:
Servicii găzduite: începând cu 10 noiembrie 2017; consultați programul de migrare pentru contul dvs. aici.
Implementări locale: începând cu 17 noiembrie 2017
Servicii gestionate: contactați reprezentantul de servicii gestionate Adobe Connect pentru a vă planifica actualizarea.
Detalii privind vulnerabilitatea
|
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Număr CVE |
|---|---|---|---|
|
Falsificarea solicitărilor de partea serverului (SSRF) |
Ocolirea controalelor de acces la rețea |
Critică |
CVE-2017-11291 |
|
Scriptare reflectată între site-uri |
Divulgarea informațiilor |
Importantă |
CVE-2017-11287 |
|
Scriptare reflectată între site-uri |
Divulgarea informațiilor |
Importantă |
CVE-2017-11288 |
|
Scriptare reflectată între site-uri |
Divulgarea informațiilor |
Importantă |
CVE-2017-11289 |
|
Deghizare UI (sau clickjacking) |
Divulgarea informațiilor |
Importantă |
CVE-2017-11290 |
Mențiuni
Adobe dorește să mulțumească următoarelor persoane pentru raportarea acestor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Adam Willard de la Blue Canopy (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Deniz CEVIK de la Biznet Bilisim A.S (CVE-2017-11291)
