Atualizações de segurança disponíveis para o Adobe Connect | APSB18-22
ID do boletim Data de publicação Prioridade
APSB18-22 10 de julho de 2018 2

Resumo

A Adobe lançou uma atualização de segurança para o Adobe Connect.  Esta atualização corrige uma vulnerabilidade importante de sobreposição de autenticação (CVE-2018-4994), que poderia resultar na divulgação de informações sigilosas caso fosse explorada.  Esta atualização também corrige uma vulnerabilidade importante de gerenciamento de sessão devido à validação inadequada de tokens de sessão de reunião do Connect.  Por fim, o instalador de add-in do Connect anterior a 9.7 carrega arquivos de DLL de forma insegura, o que poderia ser abusado para escalonar privilégios locais.

Versões do produto afetado

Produto Versão Plataforma
Adobe Connect 9.7.5 e anterior Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Versão Plataforma Prioridade Disponibilidade
Adobe Connect 9.8.1  Todos 2 Nota de versão

Observação: Como mencionado anteriormente em APSB18-18, uma mitigação para CVE-2018-4994 está disponível para clientes, para modificar filtros Tomcat e evitar o acesso remoto a arquivos de configuração do sistema.  Consulte este documento de ajuda para mais detalhes. A versão 9.8.1 inclui esta alteração nas configurações padrão.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE
Bypass de autenticação Divulgação de informações confidenciais Importante CVE-2018-4994
Bypass de autenticação Captura de sessão Importante CVE-2018-12804
Carregamento incerto da biblioteca Escalonamento de privilégio Moderado CVE-2018-12805

Observação: CVE-2018-12805 foi resolvido no instalador de add-in do Connect versão 9.7.  

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)