安全性公告 ID
Adobe Connect 的安全性更新已推出 | APSB17-35
|
發佈日期 |
優先順序 |
---|---|---|
APSB17-35 |
2017 年 11 月 14 日 |
3 |
摘要
Adobe 已發行 Adobe Connect 的安全性更新。此更新可解決重大的伺服器端偽造要求 (SSRF) 弱點 (CVE-2017-11291),以免遭濫用來略過網路存取控制。此更新同時可解決三項可能用於實行反映式跨網站指令碼攻擊的重要等級輸入驗證弱點 (CVE-2017-11287、CVE-2017-11288、CVE-2017-11289)。最後,本更新還包含可讓 Connect 管理員保護使用者免於遭受 UI 重新定址 (或點擊劫持) 攻擊 (CVE-2017-11290) 的功能。
受影響的產品版本
產品 |
版本 |
平台 |
---|---|---|
Adobe Connect |
9.6.2 及舊版 |
全部 |
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:
產品 |
版本 |
平台 |
優先順序 |
上市情況 |
---|---|---|---|---|
Adobe Connect |
9.7 |
全部 |
3 |
Adobe Connect 9.7 分以下幾個階段推出:
代管服務: 開始時間為 2017 年 11 月 10 日;您可以在此查看帳戶的移轉排程。
內部部署: 開始時間為 2017 年 11 月 17 日
管理服務: 請連絡您的 Adobe Connect 管理服務代表以排程更新。
弱點詳細資料
弱點類別 |
弱點影響 |
嚴重性 |
CVE 編號 |
---|---|---|---|
伺服器端偽造要求 (SSRF) |
略過網路存取控制 |
重大 |
CVE-2017-11291 |
反映式跨網站指令碼 |
資訊洩漏 |
重要 |
CVE-2017-11287 |
反映式跨網站指令碼 |
資訊洩漏 |
重要 |
CVE-2017-11288 |
反映式跨網站指令碼 |
資訊外洩 |
重要 |
CVE-2017-11289 |
UI 偽裝攻擊 (或點閱綁架) |
資訊外洩 |
重要 |
CVE-2017-11290 |
鳴謝
Adobe 在此感謝以下個人提報這些問題,並與 Adobe 合作協助保護客戶的安全:
- Blue Canopy 的 Adam Willard (CVE-2017-11289)
- Alexis Laborier (CVE-2017-11287)
- Pedro Cardoso (CVE-2017-11288)
- Biznet Bilisim A.S 的 Deniz CEVIK (CVE-2017-11291)