Säkerhetsuppdateringar för Adobe Connect | APSB 17-35
Bulletin-ID Publiceringsdatum Prioritet
APSB17-35 14 november 2017 3

Sammanfattning

Adobe har släppt en säkerhetsuppdatering för Adobe Connect. Denna uppdatering åtgärdar en allvarlig säkerhetslucka för server (SSRF) (CVE-2017-11291) som kan missbrukas för att kringgå nätverksåtkomst. Denna uppdatering åtgärdar också tre säkerhetsluckor vid indatavalidering som bedöms som viktiga (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) som kan användas i reflekterade serveröverskridande skriptattacker. Slutligen innehåller den här uppdateringen av en funktion som gör att Connect-administratörer kan skydda användarna mot clickjacking-attacker (CVE-2017-11290).

Berörda produktversioner

Produkt Version Plattform
Adobe Connect 9.6.2 och tidigare versioner Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt Version Plattform Prioritet Tillgänglighet
Adobe Connect 9.7 Alla 3 Versionsinformation

Obs!

Adobe Connect 9.7 lanseras i följande faser:
Värdbaserade tjänster: börjar 10 november 2017. Se migrer9ngsschemat för ditt konto här.
Lokala distributioner: börjar 17 november 2017
hanterade tjänster: kontakta din representant för Adobe Connect Managed Services för att schemalägga din uppdatering.

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer
Förfalskad begäran på serversidan (SSRF) Åsidosättning av nätverksåtkomstkontroll Kritisk CVE-2017-11291
Reflekterade serveröverskridande skriptattacker Informationsexponering
Viktig CVE-2017-11287
Reflekterande serveröverskridande skriptattacker Informationsexponering
Viktig
CVE-2017-11288
Reflekterande serveröverskridande skriptattacker Informationsexponering Viktig CVE-2017-11289
Clickjacking Informationsexponering Viktig CVE-2017-11290

Tack

Adobe tackar följande personer för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:

  • Adam Willard på Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz CEVIK från Biznet Bilisim A.S (CVE-2017-11291)