Adobe Connect 用のセキュリティアップデート | APSB18-22
情報 ID 公開日 優先度
APSB18-22 2018 年 7 月 10 日 2

要約

Adobe Connect 用のセキュリティアップデートが公開されました。このアップデートは、巧妙に悪用された場合に機密情報の漏洩を招く恐れのある重要の認証バイパスの脆弱性(CVE-2018-4994)を解決します。また、このアップデートは、Connect 会議セッショントークンの不適切な検証に起因する重要のセッション管理の脆弱性も解決します。  最後に、9.7 以前の Connect アドインインストーラーは DLL ファイルを安全に読み込まない欠陥があるため、ローカル権限昇格に悪用される恐れがあります。 

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Connect 9.7.5 とそれ以前のバージョン すべて

解決策

アドビは、これらのアップデート版の優先度評価を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 バージョン プラットフォーム 優先度 入手方法
Adobe Connect 9.8.1  すべて 2 リリースノート

注記:既に APSB18-18 でご案内したように、お客様には、Tomcat フィルターを変更してシステム構成ファイルへのリモートアクセスを防止することで、CVE-2018-4994 に関する緩和策を導入いただけます。詳細については、このヘルプドキュメントを参照してください。 バージョン 9.8.1 には、初期設定構成にこの構成変更が組み込まれています。 

脆弱性の詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 CVE 番号
認証バイパス 機密情報漏えい 重要 CVE-2018-4994
認証バイパス セッションハイジャック 重要 CVE-2018-12804
安全でないライブラリの読み込み 権限昇格 中度 CVE-2018-12805

注記:CVE-2018-12805 は Connect アドインインストーラーバージョン 9.7 で解決されました。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)