Обновления системы безопасности для Adobe Connect | APSB18-22
Идентификатор бюллетеня Дата публикации Приоритет
APSB18-22 10 июля 2018 г. 2

Сводка

Компания Adobe выпустила обновление безопасности для Adobe Connect.  В этом обновлении устранена серьезная уязвимость, связанная с обходом аутентификации (CVE-2018-4994), которая при успешном использовании могла привести к раскрытию важной информации.  В данном обновлении устранена серьезная уязвимость, связанная с управлением сеансами и возникающая в результате неадекватной проверки токенов сеанса Connect.  В итоге установщик модуля Connect версии до 9.7 загружает файлы DLL с угрозой безопасности, которая может привести к повышению локальных привилегий. 

Затрагиваемые версии продуктов

Продукт Версия Платформа
Adobe Connect 9.7.5 и более ранних версий Все

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Версия Платформа Приоритет Доступность
Adobe Connect 9.8.1  Все 2 Сведения о выпуске

Примечание. Как упоминалось ранее в APSB18-18, решение проблемы CVE-2018-4994 заключается в изменении фильтров Tomcat для предотвращения удаленного доступа к файлам конфигурации системы.  Подробнее можно узнать в этом справочном документе. В версии 9.8.1 это изменение конфигурации включено по умолчанию. 

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Обход проверки подлинности Раскрытие конфиденциальной информации Серьезная CVE-2018-4994
Обход проверки подлинности Перехват сеанса Серьезная CVE-2018-12804
Небезопасная загрузка библиотеки Повышение уровня полномочий Средняя CVE-2018-12805

Примечание. Проблема CVE-2018-12805 устранена в установщике модуля Connect версии 9.7.  

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Компания Tanner LLC (CVE-2018-4994) 

  • Пользователь BlackWingCat (CVE-2018-12805)