Adobe Connect | APSB17-35 için güvenlik güncellemeleri mevcut
Bülten No Yayınlandığı Tarih Öncelik
APSB17-35 14 Kasım 2017 3

Özet

Adobe, Adobe Connect için bir güvenlik güncellemesi yayınlandı. Bu güncelleme ağ erişim kontrollerini atlatmada kullanılabilecek önemli bir Sunucu Tarafı İstek Sahtekarlığı (SSRF) güvenlik açığı sorununu (CVE-2017-11291) çözer. Bu güncelleme ayrıca önemli olarak derecelendirilen ve yansıtılmış siteler arası betik saldırılarında kullanılabilecek üç giriş doğrulaması güvenlik açığı sorununu çözer. Son olarak bu güncellemede Connect yöneticilerinin, kullanıcıları UI değiştirme saldırılarından (veya clickjack) (CVE-2017-11290) koruyabilecekleri bir özellik mevcuttur.

Etkilenen ürün sürümleri

Ürün Sürüm Platform
Adobe Connect 9.6.2 ve önceki sürümler Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün Sürüm Platform Öncelik Bulunma Durumu
Adobe Connect 9.7 Tümü 3 Sürüm notu

Not:

Adobe Connect 9.7 şu dönemlerde piyasaya sürülecektir:
Barındırılan hizmetler: 10 Kasım 2017'den itibaren; hesabınız için geçiş planını buradan görebilirsiniz.
Yerinde dağıtım: 17 Kasım 2017'den itibaren
Yönetimli hizmetler: Güncellemenizi planlaması için Adobe Connect Managed Services temsilcinizle iletişime geçin.

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Sunucu Tarafı İstek Sahtekarlığı (SSRF) Ağ erişim kontrollerini atlatma Kritik CVE-2017-11291
Yansıtılmış Siteler Arası Betik Saldırısı Bilgi ifşası
Önemli CVE-2017-11287
Yansıtılmış Siteler Arası Betik Saldırısı Bilgi ifşası
Önemli
CVE-2017-11288
Yansıtılmış Siteler Arası Betik Saldırısı Bilgi ifşası Önemli CVE-2017-11289
UI Değiştirme (veya Clickjack) Bilgi ifşası Önemli CVE-2017-11290

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • Blue Canopy'den Adam Willard (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Biznet Bilişim A.Ş'den Deniz ÇEVİK (CVE-2017-11291)