ID biuletynu
Ostatnia aktualizacja
20 maj 2021
|
Dotyczy również Adobe Connect
Dostępna aktualizacja zabezpieczeń dla programu Adobe Connect | APSB18-22
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB18-22 |
10 lipca 2018 |
2 |
Podsumowanie
Firma Adobe wydała aktualizację zabezpieczeń dla programu Adobe Connect. Ta aktualizacja usuwa ważne luki w zabezpieczeniach związane z ominięciem uwierzytelnienia (CVE-2018-4994), które w przypadku odpowiedniego postępowania mogłyby doprowadzić do ujawnienia poufnych informacji. Ta aktualizacja usuwa także ważną lukę w zabezpieczeniach związaną z zarządzaniem sesją spowodowaną nieodpowiednim uwierzytelnieniem tokenów sesji spotkania Connect. Instalator dodatku Connect w wersji starszej niż 9.7 ładuje w sposób niebezpieczny pliki DLL, co może zostać wykorzystane w celu zwiększenia uprawnień lokalnych.
Wersje produktu, których dotyczy problem
|
Produkt |
Wersja |
Platforma |
|---|---|---|
|
Adobe Connect |
9.7.5 i starsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny priorytetu, oraz zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:
|
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Wszystkie |
2 |
Uwaga: Jak wspomniano wcześniej w APSB18-18, klienci mogą ograniczyć CVE-2018-4994 poprzez zmodyfikowanie filtrów Tomcat w celu uniemożliwienia uzyskania zdalnego dostępu do systemowych plików konfiguracyjnych. Szczegółowe informacje można znaleźć w niniejszym dokumencie pomocy. Wersja 9.8.1 zawiera tę zmianę konfiguracji w konfiguracji domyślnej.
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Istotność |
Numer CVE |
|---|---|---|---|
|
Ominięcie uwierzytelniania |
Ujawnienie poufnych informacji |
CVE-2018-4994 |
|
|
Ominięcie uwierzytelniania |
Przejmowanie sesji |
CVE-2018-12804 |
|
|
Niebezpieczne wczytywanie bibliotek |
Podniesienie uprawnień |
CVE-2018-12805 |
Uwaga: luka CVE-2018-12805 została rozwiązana w instalatorze dodatku Connect w wersji 9.7.
Podziękowania
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
