Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Connect | APSB18-22
ID bulletinu Datum zveřejnění Priorita
APSB18-22 10. července 2018 2

Shrnutí

Společnost Adobe zveřejnila aktualizaci zabezpečení pro aplikaci Adobe Connect.  Tato aktualizace řeší důležité chyby zabezpečení související s obcházením zabezpečení (CVE-2018-4994), které by mohlo vést ke zveřejnění citlivých informací, pokud by byla úspěšně využito.  Tato aktualizace řeší také důležitou chybu zabezpečení související se správou relace kvůli neadekvátním ověření tokenů relace schůzky aplikace Connect.  Instalační program doplňku Connect před verzí 9.7 nenačítá soubory DLL bezpečně, což by mohlo být zneužito k vystupňování místních oprávnění. 

Dotčené verze produktu

Produkt Verze Platforma
Adobe Connect 9.7.5 a starší verze Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Verze Platforma Priorita Dostupnost
Adobe Connect 9.8.1  Vše 2 Poznámka k verzi

Poznámka: Jak bylo dříve uvedeno v aktualizaci APSB18-18, mohou zákazníci zmírnit dopad CVE-2018-4994 tím, že upraví filtry Tomcat tak, aby bránily vzdálenému přístupu ke konfiguračním souborům systému.  Podrobnosti najdete v tomto dokumentu nápovědy. Verze 9.8.1 zahrnuje tuto změnu ve výchozích konfiguracích. 

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Obejití ověřování Poskytnutí citlivých informací Důležitá CVE-2018-4994
Obejití ověřování Napadení relace Důležitá CVE-2018-12804
Nezabezpečené načtení knihovny Eskalace oprávnění Střední CVE-2018-12805

Poznámka: Chyba CVE-2018-12805 byla vyřešena v instalačním programu doplňku Connect verze 9.7.  

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)