Adobe 安全公告

可用于 Adobe Connect 的安全更新 | APSB17-35

公告 ID

发布日期

优先级

APSB17-35

2017 年 11 月 14 日

3

摘要

Adobe 已为 Adobe Connect 发布安全更新。此更新解决了一个关键的服务器端请求伪造 (SSRF) 漏洞 (CVE-2017-11291),该漏洞可能会被滥用来绕过网络访问控制。此更新还解决了三个“重要”等级的输入验证漏洞(CVE-2017-11287、CVE-2017-11288、CVE-2017-11289),这些漏洞可能会被用于反射型跨站点脚本攻击。最后,此更新包含一项功能,使 Connect 管理员能够保护用户免受用户界面伪装(或点击劫持)攻击 (CVE-2017-11290)。

受影响的产品版本

产品

版本

平台

Adobe Connect

9.6.2 及更早版本

全部

解决方案

Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:

产品

版本

平台

优先级

获取途径

Adobe Connect

9.7

全部

3

注意:

Adobe Connect 9.7 将分以下阶段推出:
托管服务:从 2017 年 11 月 10 日开始;请在此处检查您的帐户的迁移计划。
内部部署:从 2017 年 11 月 17 日开始
受管服务:请联系您的 Adobe Connect Managed Services 代表以计划您的更新。

漏洞详情

漏洞类别

漏洞影响

严重性

CVE 编号

服务器端请求伪造 (SSRF)

绕过网络访问控制

关键

CVE-2017-11291

反射型跨站点脚本

信息泄露

重要

CVE-2017-11287

反射型跨站点脚本

信息泄露

重要

CVE-2017-11288

反射型跨站点脚本

信息泄露

重要

CVE-2017-11289

用户界面伪装(或点击劫持)

信息泄露

重要

CVE-2017-11290

鸣谢

Adobe 感谢以下人员报告这些问题并与 Adobe 共同保护客户的安全:

  • 来自 Blue Canopy 的 Adam Willard (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • 来自 Biznet Bilisim A.S 的 Deniz CEVIK (CVE-2017-11291)
Adobe 徽标

登录到您的帐户