Обновления системы безопасности для Adobe Connect | APSB17-35
Идентификатор бюллетеня Дата публикации Приоритет
APSB17-35 14 ноября 2017 г. 3

Сводка

Компания Adobe выпустила обновление безопасности для Adobe Connect. В этом обновлении устранена критическая уязвимость подделки запросов на сервере (SSRF) (CVE-2017-11291), которая могла быть использована злоумышленниками для обхода ограничений контроля доступа в сети. В этом обновлении также устранены три уязвимости проверки ввода, которые классифицированы как важные (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) и которые могли быть использованы в атаках отраженного межсайтового скриптинга. Наконец, это обновление содержит функцию, которая позволяет администраторам Connect защитить пользователей от атак с использованием фальсификации идентичности пользователя (или кликджекинга) (CVE-2017-11290).

Затрагиваемые версии продуктов

Продукт Версия Платформа
Adobe Connect 9.6.2 и более ранних версий Все

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Версия Платформа Приоритет Доступность
Adobe Connect 9.7 Все 3 Сведения о выпуске

Примечание.

Adobe Connect 9.7 развертывается на следующих этапах.
Серверные услуги: начало 10 ноября 2017 года; проверка расписания миграции для учетной записи здесь.
Внутреннее развертывание: начало 17 ноября 2017 года
Управляемые службы: обратитесь к представителю Adobe Connect Managed Services для планирования обновления.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Подделка запросов на сервере (SSRF) Обход контроля доступа в сети Критическая CVE-2017-11291
Отраженный межсайтовый скриптинг Раскрытие информации
Важная CVE-2017-11287
Отраженный межсайтовый скриптинг Раскрытие информации
Важная
CVE-2017-11288
Отраженный межсайтовый скриптинг Раскрытие информации Важная CVE-2017-11289
Фальсификация идентичности пользователя (или кликджекинг) Раскрытие информации Важная CVE-2017-11290

Благодарности

Компания Adobe выражает благодарность следующим людям за сообщение об этих проблемах и за содействие в защите наших клиентов:

  • Адам Уиллард (Adam Willard) из компании Blue Canopy (CVE-2017-11289)
  • Алексис Лаборьер (CVE-2017-11287)
  • Педро Кардосо (Pedro Cardoso) (CVE-2017-11288)
  • Дениз Цевик (Deniz CEVIK) из компании Biznet Bilisim A.S (CVE-2017-11291)