Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
|
Также применяется к Adobe Connect
Обновления системы безопасности для Adobe Connect | APSB17-35
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB17-35 |
14 ноября 2017 г. |
3 |
Сводка
Компания Adobe выпустила обновление безопасности для Adobe Connect. В этом обновлении устранена критическая уязвимость подделки запросов на сервере (SSRF) (CVE-2017-11291), которая могла быть использована злоумышленниками для обхода ограничений контроля доступа в сети. В этом обновлении также устранены три уязвимости проверки ввода, которые классифицированы как важные (CVE-2017-11287, CVE-2017-11288, CVE-2017-11289) и которые могли быть использованы в атаках отраженного межсайтового скриптинга. Наконец, это обновление содержит функцию, которая позволяет администраторам Connect защитить пользователей от атак с использованием фальсификации идентичности пользователя (или кликджекинга) (CVE-2017-11290).
Затрагиваемые версии продуктов
|
Продукт |
Версия |
Платформа |
|---|---|---|
|
Adobe Connect |
9.6.2 и более ранних версий |
Все |
Решение
Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
|
Продукт |
Версия |
Платформа |
Приоритет |
Доступность |
|---|---|---|---|---|
|
Adobe Connect |
9.7 |
Все |
3 |
Примечание.
Adobe Connect 9.7 развертывается на следующих этапах.
Серверные услуги: начало 10 ноября 2017 года; проверка расписания миграции для учетной записи здесь.
Внутреннее развертывание: начало 17 ноября 2017 года
Управляемые службы: обратитесь к представителю Adobe Connect Managed Services для планирования обновления.
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Номер CVE |
|---|---|---|---|
|
Подделка запросов на сервере (SSRF) |
Обход контроля доступа в сети |
Критическая |
CVE-2017-11291 |
|
Отраженный межсайтовый скриптинг |
Раскрытие информации |
Важная |
CVE-2017-11287 |
|
Отраженный межсайтовый скриптинг |
Раскрытие информации |
Важная |
CVE-2017-11288 |
|
Отраженный межсайтовый скриптинг |
Раскрытие информации |
Важная |
CVE-2017-11289 |
|
Фальсификация идентичности пользователя (или кликджекинг) |
Раскрытие информации |
Важная |
CVE-2017-11290 |
Благодарности
Компания Adobe выражает благодарность следующим людям за сообщение об этих проблемах и за содействие в защите наших клиентов:
- Адам Уиллард (Adam Willard) из компании Blue Canopy (CVE-2017-11289)
- Алексис Лаборьер (CVE-2017-11287)
- Педро Кардосо (Pedro Cardoso) (CVE-2017-11288)
- Дениз Цевик (Deniz CEVIK) из компании Biznet Bilisim A.S (CVE-2017-11291)