Bulletin-ID
Zuletzt aktualisiert am
30. April 2021
|
Gilt auch für Adobe Connect
Sicherheits-Updates für Adobe Connect verfügbar | APSB18-22
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB18-22 |
10. Juli 2018 |
2 |
Zusammenfassung
Adobe hat ein Sicherheits-Update für Adobe Connect veröffentlicht. Durch dieses Update wird eine wichtige Sicherheitslücke zur Umgehung der Authentifizierung (CVE-2018-4994) geschlossen, die bei erfolgreicher Ausnutzung zur Offenlegung vertraulicher Informationen führen kann. Zudem wird durch dieses Update eine wichtige Sicherheitslücke bei der Sitzungsverwaltung geschlossen, die aufgrund einer unzureichenden Gültigkeitsprüfung von Sitzungstokens für Connect-Meetings entstand. Außerdem wurden DLL-Dateien vom Connect-Add-in-Installationsprogramm vor 9.7 nicht sicher hochgeladen, was zur Ausweitung lokaler Berechtigungen genutzt werden kann.
Betroffene Produktversionen
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Adobe Connect |
9.7.5 und früher |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
|
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Alle |
2 |
Hinweis: Wie bereits in APSB18-18 erwähnt, können Kunden die Auswirkungen von CVE-2018-4994 abschwächen, indem sie die Tomcat-Filter ändern, um den Remote-Zugriff auf Systemkonfigurationsdateien zu verhindern. Details finden Sie in diesem Hilfedokument. Version 9.8.1 enthält diese Konfigurationsänderung in Standardkonfigurationen.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVE-Nummer |
|---|---|---|---|
|
Umgehung der Authentifizierung |
Offenlegung vertraulicher Informationen |
CVE-2018-4994 |
|
|
Umgehung der Authentifizierung |
Session Hijacking |
CVE-2018-12804 |
|
|
Laden unsicherer Bibliotheken |
Berechtigungsausweitung |
CVE-2018-12805 |
Hinweis: CVE-2018-12805 wurde im Connect-Add-in-Installationsprogramm Version 9.7 behoben.
Danksagung
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
