Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
|
Также применяется к Adobe Connect
Обновления системы безопасности для Adobe Connect | APSB18-22
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB18-22 |
10 июля 2018 г. |
2 |
Сводка
Компания Adobe выпустила обновление безопасности для Adobe Connect. В этом обновлении устранена серьезная уязвимость, связанная с обходом аутентификации (CVE-2018-4994), которая при успешном использовании могла привести к раскрытию важной информации. В данном обновлении устранена серьезная уязвимость, связанная с управлением сеансами и возникающая в результате неадекватной проверки токенов сеанса Connect. В итоге установщик модуля Connect версии до 9.7 загружает файлы DLL с угрозой безопасности, которая может привести к повышению локальных привилегий.
Затрагиваемые версии продуктов
|
Продукт |
Версия |
Платформа |
|---|---|---|
|
Adobe Connect |
9.7.5 и более ранних версий |
Все |
Решение
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
|
Продукт |
Версия |
Платформа |
Приоритет |
Доступность |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Все |
2 |
Примечание. Как упоминалось ранее в APSB18-18, решение проблемы CVE-2018-4994 заключается в изменении фильтров Tomcat для предотвращения удаленного доступа к файлам конфигурации системы. Подробнее можно узнать в этом справочном документе. В версии 9.8.1 это изменение конфигурации включено по умолчанию.
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Номер CVE |
|---|---|---|---|
|
Обход проверки подлинности |
Раскрытие конфиденциальной информации |
CVE-2018-4994 |
|
|
Обход проверки подлинности |
Перехват сеанса |
CVE-2018-12804 |
|
|
Небезопасная загрузка библиотеки |
Повышение уровня полномочий |
CVE-2018-12805 |
Примечание. Проблема CVE-2018-12805 устранена в установщике модуля Connect версии 9.7.
Благодарности
Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
Компания Tanner LLC (CVE-2018-4994)
Пользователь BlackWingCat (CVE-2018-12805)
Adobe MAX
— творческая конференция
С 14 по 16 октября очно в Майами-Бич и онлайн
Adobe MAX
Творческая конференция
С 14 по 16 октября очно в Майами-Бич и онлайн