公告 ID
可用于 Adobe Connect 的安全更新 | APSB17-35
|
发布日期 |
优先级 |
---|---|---|
APSB17-35 |
2017 年 11 月 14 日 |
3 |
摘要
Adobe 已为 Adobe Connect 发布安全更新。此更新解决了一个关键的服务器端请求伪造 (SSRF) 漏洞 (CVE-2017-11291),该漏洞可能会被滥用来绕过网络访问控制。此更新还解决了三个“重要”等级的输入验证漏洞(CVE-2017-11287、CVE-2017-11288、CVE-2017-11289),这些漏洞可能会被用于反射型跨站点脚本攻击。最后,此更新包含一项功能,使 Connect 管理员能够保护用户免受用户界面伪装(或点击劫持)攻击 (CVE-2017-11290)。
受影响的产品版本
产品 |
版本 |
平台 |
---|---|---|
Adobe Connect |
9.6.2 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
产品 |
版本 |
平台 |
优先级 |
获取途径 |
---|---|---|---|---|
Adobe Connect |
9.7 |
全部 |
3 |
Adobe Connect 9.7 将分以下阶段推出:
托管服务:从 2017 年 11 月 10 日开始;请在此处检查您的帐户的迁移计划。
内部部署:从 2017 年 11 月 17 日开始
受管服务:请联系您的 Adobe Connect Managed Services 代表以计划您的更新。
漏洞详情
漏洞类别 |
漏洞影响 |
严重性 |
CVE 编号 |
---|---|---|---|
服务器端请求伪造 (SSRF) |
绕过网络访问控制 |
关键 |
CVE-2017-11291 |
反射型跨站点脚本 |
信息泄露 |
重要 |
CVE-2017-11287 |
反射型跨站点脚本 |
信息泄露 |
重要 |
CVE-2017-11288 |
反射型跨站点脚本 |
信息泄露 |
重要 |
CVE-2017-11289 |
用户界面伪装(或点击劫持) |
信息泄露 |
重要 |
CVE-2017-11290 |
鸣谢
Adobe 感谢以下人员报告这些问题并与 Adobe 共同保护客户的安全:
- 来自 Blue Canopy 的 Adam Willard (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- 来自 Biznet Bilisim A.S 的 Deniz CEVIK (CVE-2017-11291)