Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe Connect | APSB18-22

Bulletin-ID

Udgivelsesdato

Prioritet

APSB18-22

10. juli 2018

2

Resumé

Adobe har frigivet en sikkerhedsopdatering til Adobe Connect.  Denne opdatering løser et vigtigt sikkerhedsproblem vedrørende tilsidesættelse af godkendelse (CVE-2018-4994), som kan resultere i afsløring af følsomme oplysninger, hvis det udnyttes.  Denne opdatering løser også et vigtigt sikkerhedsproblem vedrørende sessionsstyring pga. utilstrækkelig validering af tokens til Connect meeting-sessioner.  Endelig så indlæser installationsprogrammet til Connect add-in tidligere end version 9.7 DLL-filer usikkert, hvilket kan misbruges til at eskalerer lokale rettigheder. 

Berørte produktversioner

Produkt

Version

Platform

Adobe Connect

9.7.5 og tidligere

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt

Version

Platform

Prioritet

Tilgængelighed

Adobe Connect

9.8.1 

Alle

2

Bemærk: Som tidligere nævnt i APSB18-18, er en rettelse til CVE-2018-4994 tilgængelig for kunder ved at ændre Tomcat-filtre for at forhindre fjernadgang til systemkonfigurationsfiler.  Der er flere oplysninger i dette  hjælp-dokument. Version 9.8.1 indeholder denne konfigurationsændring i standardkonfigurationer. 

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVE-nummer

Tilsidesættelse af godkendelse

Afsløring af følsomme oplysninger

CVE-2018-4994

Tilsidesættelse af godkendelse

Overtagelse af session

CVE-2018-12804

Usikker indlæsning af bibliotek

Eskalering af rettigheder

CVE-2018-12805

Bemærk: CVE-2018-12805 blev løst i version 9.7 af installationsprogrammet til Connect add-in.  

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)

Adobe-logo

Log ind på din konto