ID bollettino
Ultimo aggiornamento il
3 mag 2021
|
Si applica anche a Adobe Connect
Aggiornamenti di sicurezza disponibili per Adobe Connect | APSB18-22
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB18-22 |
10 luglio 2018 |
2 |
Riepilogo
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect. Questo aggiornamento risolve un'importante vulnerabilità di aggiramento dell'autenticazione(CVE-2018-4994). Tale vulnerabilità, se sfruttata, potrebbe provocare la divulgazione di informazioni riservate. Questo aggiornamento risolve inoltre un'importante vulnerabilità di gestione delle sessioni, causata dalla convalida inadeguata dei token di sessione delle riunioni di Connect. Infine, il programma di installazione del componente aggiuntivo di Connect, nelle versioni antecedenti a 9.7, carica i file DLL in modalità non protetta, una condizione che può essere sfruttata per la riassegnazione dei privilegi locali.
Versioni del prodotto interessate
|
Prodotto |
Versione |
Piattaforma |
|---|---|---|
|
Adobe Connect |
9.7.5 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:
|
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Tutte |
2 |
Nota: come accennato in precedenza in APSB18-18, per i clienti è disponibile un'attenuazione per CVE-2018-4994 mediante la modifica dei filtri Tomcat per impedire l'accesso in remoto ai file di configurazione del sistema. Per informazioni dettagliate, consultate questo documento della guida . Nella versione 9.8.1 questa modifica è inclusa nelle configurazioni predefinite.
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Codice CVE |
|---|---|---|---|
|
Aggiramento di autenticazione |
Divulgazione di informazioni riservate |
CVE-2018-4994 |
|
|
Aggiramento di autenticazione |
Dirottamento di sessione |
CVE-2018-12804 |
|
|
Caricamento della libreria non sicuro |
Acquisizione illecita di privilegi |
CVE-2018-12805 |
Nota: CVE-2018-12805 è stato risolto nella versione 9.7 del programma di installazione del componente aggiuntivo di Connect.
Ringraziamenti
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
