可用于 Adobe Connect 的安全更新 | APSB17-35
公告 ID 发布日期 优先级
APSB17-35 2017 年 11 月 14 日 3

摘要

Adobe 已为 Adobe Connect 发布安全更新。此更新解决了一个关键的服务器端请求伪造 (SSRF) 漏洞 (CVE-2017-11291),该漏洞可能会被滥用来绕过网络访问控制。此更新还解决了三个“重要”等级的输入验证漏洞(CVE-2017-11287、CVE-2017-11288、CVE-2017-11289),这些漏洞可能会被用于反射型跨站点脚本攻击。最后,此更新包含一项功能,使 Connect 管理员能够保护用户免受用户界面伪装(或点击劫持)攻击 (CVE-2017-11290)。

受影响的产品版本

产品 版本 平台
Adobe Connect 9.6.2 及更早版本 全部

解决方案

Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:

产品 版本 平台 优先级 获取途径
Adobe Connect 9.7 全部 3 发行说明

注意:

Adobe Connect 9.7 将分以下阶段推出:
托管服务:从 2017 年 11 月 10 日开始;请在此处检查您的帐户的迁移计划。
内部部署:从 2017 年 11 月 17 日开始
受管服务:请联系您的 Adobe Connect Managed Services 代表以计划您的更新。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
服务器端请求伪造 (SSRF) 绕过网络访问控制 关键 CVE-2017-11291
反射型跨站点脚本 信息泄露
重要 CVE-2017-11287
反射型跨站点脚本 信息泄露
重要
CVE-2017-11288
反射型跨站点脚本 信息泄露 重要 CVE-2017-11289
用户界面伪装(或点击劫持) 信息泄露 重要 CVE-2017-11290

鸣谢

Adobe 感谢以下人员报告这些问题并与 Adobe 共同保护客户的安全:

  • 来自 Blue Canopy 的 Adam Willard (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • 来自 Biznet Bilisim A.S 的 Deniz CEVIK (CVE-2017-11291)