Бюллетень безопасности Adobe

Обновления системы безопасности для Adobe Connect | APSB17-35

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB17-35

14 ноября 2017 г.

3

Сводка

Компания Adobe выпустила обновление безопасности для Adobe Connect. В этом обновлении устранена критическая уязвимость подделки запросов на сервере (SSRF) (CVE-2017-11291), которая могла быть использована злоумышленниками для обхода ограничений контроля доступа в сети. В этом обновлении также устранены три уязвимости проверки ввода, которые классифицированы как важные (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) и которые могли быть использованы в атаках отраженного межсайтового скриптинга. Наконец, это обновление содержит функцию, которая позволяет администраторам Connect защитить пользователей от атак с использованием фальсификации идентичности пользователя (или кликджекинга) (CVE-2017-11290).

Затрагиваемые версии продуктов

Продукт

Версия

Платформа

Adobe Connect

9.6.2 и более ранних версий

Все

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт

Версия

Платформа

Приоритет

Доступность

Adobe Connect

9.7

Все

3

Примечание.

Adobe Connect 9.7 развертывается на следующих этапах.
Серверные услуги: начало 10 ноября 2017 года; проверка расписания миграции для учетной записи здесь.
Внутреннее развертывание: начало 17 ноября 2017 года
Управляемые службы: обратитесь к представителю Adobe Connect Managed Services для планирования обновления.

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Номер CVE

Подделка запросов на сервере (SSRF)

Обход контроля доступа в сети

Критическая

CVE-2017-11291

Отраженный межсайтовый скриптинг

Раскрытие информации

Важная

CVE-2017-11287

Отраженный межсайтовый скриптинг

Раскрытие информации

Важная

CVE-2017-11288

Отраженный межсайтовый скриптинг

Раскрытие информации

Важная

CVE-2017-11289

Фальсификация идентичности пользователя (или кликджекинг)

Раскрытие информации

Важная

CVE-2017-11290

Благодарности

Компания Adobe выражает благодарность следующим людям за сообщение об этих проблемах и за содействие в защите наших клиентов:

  • Адам Уиллард (Adam Willard) из компании Blue Canopy (CVE-2017-11289)
  • Алексис Лаборьер (CVE-2017-11287)
  • Педро Кардосо (Pedro Cardoso) (CVE-2017-11288)
  • Дениз Цевик (Deniz CEVIK) из компании Biznet Bilisim A.S (CVE-2017-11291)
Логотип Adobe

Вход в учетную запись