UPDATE: DFN-CERT-2017-1018 Adobe Captivate: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Apple][Windows]

UPDATE: DFN-CERT-2017-1018 Adobe Captivate: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (21.06.2017):
Adobe aktualisiert seinen Sicherheitshinweis und informiert über eine
weitere, mit diesem Update behobene Schwachstelle, die in der ersten
Veröffentlichung unbeabsichtigt nicht aufgeführt wurde. Ein entfernter,
möglicherweise nicht authentisierter Angreifer kann die nicht näher
spezifizierte Schwachstelle ausnutzen, um beliebige Dateien auf dem Server
zu lesen und zu bearbeiten. Die Schwachstelle wird vom Hersteller als
kritisch eingestuft, da beliebiger Programmcode zur Ausführung gebracht
werden kann.
Version 1 (14.06.2017):
Neues Advisory

Betroffene Software:

Adobe Captivate 8
Adobe Captivate 9
Adobe Captivate < 10.0.0.192 Betroffene Plattformen: Apple Mac OS X macOS Sierra Microsoft Windows Ein entfernter, nicht authentisierter Angreifer kann durch bestimmte Eingaben im Kontext eines Quiz möglicherweise sensitive Informationen ausspähen. Adobe informiert über die Schwachstelle in Adobe Captivate 9 und früher und stellt die Version 10.0.0.192 von Adobe Captivate 2017 für Windows- und Macintosh-Systeme als Sicherheitsupdate bereit. Für Benutzer von Adobe Captivate 8 und 9 steht ein Hotfix zur Behebung der Schwachstelle zur Verfügung. Patch: Adobe Security Updates für Captivate 8 and 9 https://helpx.adobe.com/captivate/kb/security-updates-captivate.html

Patch:

Adobe Security Bulletin APSB17-19

https://helpx.adobe.com/security/products/captivate/apsb17-19.html

CVE-2017-3098: Schwachstelle in Adobe Captivate ermöglicht Ausführung
beliebigen Programmcodes

In der Funktionalität zur Meldung der Ergebnisse von Umfragen oder Tests
(Quiz) an den Server besteht die Möglichkeit zur Ausführung beliebigen
Programmcodes aus der Ferne. Ein entfernter, möglicherweise nicht
authentisierter Angreifer kann die nicht näher spezifizierte Schwachstelle
ausnutzen, um beliebige Dateien auf dem Server zu lesen und zu bearbeiten.
Die Schwachstelle wird vom Hersteller als kritisch eingestuft.

CVE-2017-3087: Schwachstelle in Adobe Captivate ermöglicht Ausspähen von
Informationen

In der Funktionalität zur Meldung der Ergebnisse von Umfragen oder Tests
(Quiz) an den Server kann es zur Offenlegung von Informationen kommen, da
Benutzereingaben in den Dateien ‘internalserverread.php’ und
‘internalServerReporting.php’ nicht ausreichend bereinigt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1018/

Adobe Security Updates für Captivate 8 and 9:
https://helpx.adobe.com/captivate/kb/security-updates-captivate.html

Adobe Captivate 2017 Release Notes:
https://helpx.adobe.com/captivate/release-note/adobe-captivate-release-notes.html

Schwachstelle CVE-2017-3087 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3087

Adobe Security Bulletin APSB17-19:
https://helpx.adobe.com/security/products/captivate/apsb17-19.html

Schwachstelle CVE-2017-3098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3098

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben