可用于 Adobe Connect 的安全更新 | APSB18-22
公告 ID 发布日期 优先级
APSB18-22 2018 年 7 月 10 日 2

摘要

Adobe 已为 Adobe Connect 发布安全更新。此更新修补了一个重要的身份验证绕过漏洞 (CVE-2018-4994)。如果恶意用户成功利用该漏洞,可能会导致敏感信息发生泄露。此更新修补了一个重要的会话管理漏洞,该漏洞是由于 Connect 会议会话令牌的验证强度不足而造成。最后,低于 9.7 版的 Connect Add-in 安装程序会以不安全的方式加载 DLL 文件,恶意用户可能会滥用该漏洞来提升本地权限。

受影响的产品版本

产品 版本 平台
Adobe Connect 9.7.5 及更早版本 全部

解决方案

Adobe 按照以下 优先级 对这些更新进行了分类,建议用户将安装的软件更新至最新版本:

产品 版本 平台 优先级 获取途径
Adobe Connect 9.8.1  全部 2 发行说明

注意:正如之前在 APSB18-18 中所述,客户可以通过修改 Tomcat 过滤器来阻止远程访问系统配置文件,进而缓解 CVE-2018-4994 漏洞的风险。有关详细信息,请参阅此帮助文档。9.8.1 版的默认配置中包含此配置更改。

漏洞详情

漏洞类别 漏洞影响 严重性 CVE 编号
身份验证绕过 敏感信息泄漏 重要 CVE-2018-4994
身份验证绕过 会话劫持 重要 CVE-2018-12804
不安全库加载 权限提升 中等 CVE-2018-12805

注意:在 9.7 版 Connect Add-in 的安装程序中已修补 CVE-2018-12805 漏洞。  

鸣谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:

  • Tanner LLC 公司 (CVE-2018-4994)

  • BlackWingCat(CVE-2018-12805)