Dostępna aktualizacja zabezpieczeń dla programu Adobe Connect | APSB18-22
ID biuletynu Data publikacji Priorytet
APSB18-22 10 lipca 2018 2

Podsumowanie

Firma Adobe wydała aktualizację zabezpieczeń dla programu Adobe Connect.  Ta aktualizacja usuwa ważne luki w zabezpieczeniach związane z ominięciem uwierzytelnienia (CVE-2018-4994), które w przypadku odpowiedniego postępowania mogłyby doprowadzić do ujawnienia poufnych informacji.  Ta aktualizacja usuwa także ważną lukę w zabezpieczeniach związaną z zarządzaniem sesją spowodowaną nieodpowiednim uwierzytelnieniem tokenów sesji spotkania Connect.  Instalator dodatku Connect w wersji starszej niż 9.7 ładuje w sposób niebezpieczny pliki DLL, co może zostać wykorzystane w celu zwiększenia uprawnień lokalnych. 

Wersje produktu, których dotyczy problem

Produkt Wersja Platforma
Adobe Connect 9.7.5 i starsze wersje Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny priorytetu, oraz zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:

Produkt Wersja Platforma Priorytet Dostępność
Adobe Connect 9.8.1  Wszystkie 2 Informacje o wersji

Uwaga: Jak wspomniano wcześniej w APSB18-18, klienci mogą ograniczyć CVE-2018-4994 poprzez zmodyfikowanie filtrów Tomcat w celu uniemożliwienia uzyskania zdalnego dostępu do systemowych plików konfiguracyjnych.  Szczegółowe informacje można znaleźć w niniejszym dokumencie pomocy. Wersja 9.8.1 zawiera tę zmianę konfiguracji w konfiguracji domyślnej. 

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Istotność Numer CVE
Ominięcie uwierzytelniania Ujawnienie poufnych informacji Istotna CVE-2018-4994
Ominięcie uwierzytelniania Przejmowanie sesji Istotna CVE-2018-12804
Niebezpieczne wczytywanie bibliotek Podniesienie uprawnień Średnia CVE-2018-12805

Uwaga: luka CVE-2018-12805 została rozwiązana w instalatorze dodatku Connect w wersji 9.7.

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)