Bulletin-ID
Sidst opdateret den
5. maj 2021
|
Gælder også for Adobe Connect
Sikkerhedsopdateringer til Adobe Connect | APSB18-22
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB18-22 |
10. juli 2018 |
2 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Connect. Denne opdatering løser et vigtigt sikkerhedsproblem vedrørende tilsidesættelse af godkendelse (CVE-2018-4994), som kan resultere i afsløring af følsomme oplysninger, hvis det udnyttes. Denne opdatering løser også et vigtigt sikkerhedsproblem vedrørende sessionsstyring pga. utilstrækkelig validering af tokens til Connect meeting-sessioner. Endelig så indlæser installationsprogrammet til Connect add-in tidligere end version 9.7 DLL-filer usikkert, hvilket kan misbruges til at eskalerer lokale rettigheder.
Berørte produktversioner
|
Produkt |
Version |
Platform |
|---|---|---|
|
Adobe Connect |
9.7.5 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
|
Produkt |
Version |
Platform |
Prioritet |
Tilgængelighed |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Alle |
2 |
Bemærk: Som tidligere nævnt i APSB18-18, er en rettelse til CVE-2018-4994 tilgængelig for kunder ved at ændre Tomcat-filtre for at forhindre fjernadgang til systemkonfigurationsfiler. Der er flere oplysninger i dette hjælp-dokument. Version 9.8.1 indeholder denne konfigurationsændring i standardkonfigurationer.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVE-nummer |
|---|---|---|---|
|
Tilsidesættelse af godkendelse |
Afsløring af følsomme oplysninger |
CVE-2018-4994 |
|
|
Tilsidesættelse af godkendelse |
Overtagelse af session |
CVE-2018-12804 |
|
|
Usikker indlæsning af bibliotek |
Eskalering af rettigheder |
CVE-2018-12805 |
Bemærk: CVE-2018-12805 blev løst i version 9.7 af installationsprogrammet til Connect add-in.
Tak til følgende personer
Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
