Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń dla programu Adobe Connect | APSB18-22

ID biuletynu

Data publikacji

Priorytet

APSB18-22

10 lipca 2018

2

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń dla programu Adobe Connect.  Ta aktualizacja usuwa ważne luki w zabezpieczeniach związane z ominięciem uwierzytelnienia (CVE-2018-4994), które w przypadku odpowiedniego postępowania mogłyby doprowadzić do ujawnienia poufnych informacji.  Ta aktualizacja usuwa także ważną lukę w zabezpieczeniach związaną z zarządzaniem sesją spowodowaną nieodpowiednim uwierzytelnieniem tokenów sesji spotkania Connect.  Instalator dodatku Connect w wersji starszej niż 9.7 ładuje w sposób niebezpieczny pliki DLL, co może zostać wykorzystane w celu zwiększenia uprawnień lokalnych. 

Wersje produktu, których dotyczy problem

Produkt

Wersja

Platforma

Adobe Connect

9.7.5 i starsze wersje

Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny priorytetu, oraz zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:

Produkt

Wersja

Platforma

Priorytet

Dostępność

Adobe Connect

9.8.1 

Wszystkie

2

Uwaga: Jak wspomniano wcześniej w APSB18-18, klienci mogą ograniczyć CVE-2018-4994 poprzez zmodyfikowanie filtrów Tomcat w celu uniemożliwienia uzyskania zdalnego dostępu do systemowych plików konfiguracyjnych.  Szczegółowe informacje można znaleźć w niniejszym dokumencie pomocy. Wersja 9.8.1 zawiera tę zmianę konfiguracji w konfiguracji domyślnej. 

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Istotność

Numer CVE

Ominięcie uwierzytelniania

Ujawnienie poufnych informacji

CVE-2018-4994

Ominięcie uwierzytelniania

Przejmowanie sesji

CVE-2018-12804

Niebezpieczne wczytywanie bibliotek

Podniesienie uprawnień

CVE-2018-12805

Uwaga: luka CVE-2018-12805 została rozwiązana w instalatorze dodatku Connect w wersji 9.7.

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)

Logo Adobe

Zaloguj się na swoje konto