Sicherheits-Updates für Adobe Connect verfügbar | APSB18-22
Bulletin-ID Veröffentlichungsdatum Priorität
APSB18-22 10. Juli 2018 2

Zusammenfassung

Adobe hat ein Sicherheits-Update für Adobe Connect veröffentlicht. Durch dieses Update wird eine wichtige Sicherheitslücke zur Umgehung der Authentifizierung (CVE-2018-4994) geschlossen, die bei erfolgreicher Ausnutzung zur Offenlegung vertraulicher Informationen führen kann.  Zudem wird durch dieses Update eine wichtige Sicherheitslücke bei der Sitzungsverwaltung geschlossen, die aufgrund einer unzureichenden Gültigkeitsprüfung von Sitzungstokens für Connect-Meetings entstand.  Außerdem wurden DLL-Dateien vom Connect-Add-in-Installationsprogramm vor 9.7 nicht sicher hochgeladen, was zur Ausweitung lokaler Berechtigungen genutzt werden kann. 

Betroffene Produktversionen

Produkt Version Plattform
Adobe Connect 9.7.5 und früher Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Version Plattform Priorität Verfügbarkeit
Adobe Connect 9.8.1  Alle 2 Versionshinweise

Hinweis: Wie bereits in APSB18-18 erwähnt, können Kunden die Auswirkungen von CVE-2018-4994 abschwächen, indem sie die Tomcat-Filter ändern, um den Remote-Zugriff auf Systemkonfigurationsdateien zu verhindern.  Details finden Sie in diesem Hilfedokument. Version 9.8.1 enthält diese Konfigurationsänderung in Standardkonfigurationen. 

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe CVE-Nummer
Umgehung der Authentifizierung Offenlegung vertraulicher Informationen Wichtig CVE-2018-4994
Umgehung der Authentifizierung Session Hijacking Wichtig CVE-2018-12804
Laden unsicherer Bibliotheken Berechtigungsausweitung Mittel CVE-2018-12805

Hinweis: CVE-2018-12805 wurde im Connect-Add-in-Installationsprogramm Version 9.7 behoben.  

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)