Adobe Connect 的安全性更新已推出 | APSB18-22
安全性公告 ID 發佈日期 優先順序
APSB18-22 2018 年 7 月 10 日 2

摘要

Adobe 已發行 Adobe Connect 的安全性更新。  此更新旨在解決一項重要的驗證無故省略弱點 (CVE-2018-4994),此弱點若遭到不當利用得手,可能會造成機敏資訊外洩。  此更新亦解決一項重要的工作階段管理弱點,這個弱點肇因於未適當驗證 Connect Meeting 工作階段 Token。  最後,9.7 版之前的 Connect 增益集安裝程式會以不安全的方式載入 DLL 檔案,可能會遭到濫用來竊取本機權限。

受影響的產品版本

產品 版本 平台
Adobe Connect 9.7.5 及舊版 全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:

產品 版本 平台 優先順序 上市情況
Adobe Connect 9.8.1  全部 2 版本說明

注意:如先前於 APSB18-18 所述,CVE-2018-4994 的風險降低措施已提供給客戶,這個措施會修改 Tomcat 篩選器以防止遠端存取系統設定檔案。  請參閱此說明文件以瞭解詳情。 9.8.1 版的預設設定中包含此設定變更。

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
驗證無故省略 敏感資訊揭露 重要 CVE-2018-4994
驗證無故省略 工作階段劫持 重要 CVE-2018-12804
不安全的程式庫載入 權限竊取 中度 CVE-2018-12805

注意:Connect 增益集安裝程式版本 9.7 已解決 CVE-2018-12805。  

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)