Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Connect | APSB18-22

ID bulletinu

Datum zveřejnění

Priorita

APSB18-22

10. července 2018

2

Shrnutí

Společnost Adobe zveřejnila aktualizaci zabezpečení pro aplikaci Adobe Connect.  Tato aktualizace řeší důležité chyby zabezpečení související s obcházením zabezpečení (CVE-2018-4994), které by mohlo vést ke zveřejnění citlivých informací, pokud by byla úspěšně využito.  Tato aktualizace řeší také důležitou chybu zabezpečení související se správou relace kvůli neadekvátním ověření tokenů relace schůzky aplikace Connect.  Instalační program doplňku Connect před verzí 9.7 nenačítá soubory DLL bezpečně, což by mohlo být zneužito k vystupňování místních oprávnění. 

Dotčené verze produktu

Produkt

Verze

Platforma

Adobe Connect

9.7.5 a starší verze

Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt

Verze

Platforma

Priorita

Dostupnost

Adobe Connect

9.8.1 

Vše

2

Poznámka: Jak bylo dříve uvedeno v aktualizaci APSB18-18, mohou zákazníci zmírnit dopad CVE-2018-4994 tím, že upraví filtry Tomcat tak, aby bránily vzdálenému přístupu ke konfiguračním souborům systému.  Podrobnosti najdete v tomto dokumentu nápovědy. Verze 9.8.1 zahrnuje tuto změnu ve výchozích konfiguracích. 

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Číslo CVE

Obejití ověřování

Poskytnutí citlivých informací

CVE-2018-4994

Obejití ověřování

Napadení relace

CVE-2018-12804

Nezabezpečené načtení knihovny

Eskalace oprávnění

CVE-2018-12805

Poznámka: Chyba CVE-2018-12805 byla vyřešena v instalačním programu doplňku Connect verze 9.7.  

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)

Logo Adobe

Přihlaste se ke svému účtu.