Aggiornamenti di sicurezza disponibili per Adobe Connect | APSB18-22
ID bollettino Data di pubblicazione Priorità
APSB18-22 10 luglio 2018 2

Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect.  Questo aggiornamento risolve un'importante vulnerabilità di aggiramento dell'autenticazione(CVE-2018-4994). Tale vulnerabilità, se sfruttata, potrebbe provocare la divulgazione di informazioni riservate.  Questo aggiornamento risolve inoltre un'importante vulnerabilità di gestione delle sessioni, causata dalla convalida inadeguata dei token di sessione delle riunioni di Connect.  Infine, il programma di installazione del componente aggiuntivo di Connect, nelle versioni antecedenti a 9.7, carica i file DLL in modalità non protetta, una condizione che può essere sfruttata per la riassegnazione dei privilegi locali. 

Versioni del prodotto interessate

Prodotto Versione Piattaforma
Adobe Connect 9.7.5 e versioni precedenti Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:

Prodotto Versione Piattaforma Priorità Disponibilità
Adobe Connect 9.8.1  Tutte 2 Nota di rilascio

Nota: come accennato in precedenza in APSB18-18, per i clienti è disponibile un'attenuazione per CVE-2018-4994 mediante la modifica dei filtri Tomcat per impedire l'accesso in remoto ai file di configurazione del sistema.  Per informazioni dettagliate, consultate questo documento della guida . Nella versione 9.8.1 questa modifica è inclusa nelle configurazioni predefinite. 

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Codice CVE
Aggiramento di autenticazione Divulgazione di informazioni riservate Importante CVE-2018-4994
Aggiramento di autenticazione Dirottamento di sessione Importante CVE-2018-12804
Caricamento della libreria non sicuro Acquisizione illecita di privilegi Moderato CVE-2018-12805

Nota: CVE-2018-12805 è stato risolto nella versione 9.7 del programma di installazione del componente aggiuntivo di Connect.  

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)