Sikkerhedsopdateringer til Adobe Connect | APSB18-22
Bulletin-ID Udgivelsesdato Prioritet
APSB18-22 10. juli 2018 2

Resumé

Adobe har frigivet en sikkerhedsopdatering til Adobe Connect.  Denne opdatering løser et vigtigt sikkerhedsproblem vedrørende tilsidesættelse af godkendelse (CVE-2018-4994), som kan resultere i afsløring af følsomme oplysninger, hvis det udnyttes.  Denne opdatering løser også et vigtigt sikkerhedsproblem vedrørende sessionsstyring pga. utilstrækkelig validering af tokens til Connect meeting-sessioner.  Endelig så indlæser installationsprogrammet til Connect add-in tidligere end version 9.7 DLL-filer usikkert, hvilket kan misbruges til at eskalerer lokale rettigheder. 

Berørte produktversioner

Produkt Version Platform
Adobe Connect 9.7.5 og tidligere Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt Version Platform Prioritet Tilgængelighed
Adobe Connect 9.8.1  Alle 2 Produktbemærkninger

Bemærk: Som tidligere nævnt i APSB18-18, er en rettelse til CVE-2018-4994 tilgængelig for kunder ved at ændre Tomcat-filtre for at forhindre fjernadgang til systemkonfigurationsfiler.  Der er flere oplysninger i dette  hjælp-dokument. Version 9.8.1 indeholder denne konfigurationsændring i standardkonfigurationer. 

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed CVE-nummer
Tilsidesættelse af godkendelse Afsløring af følsomme oplysninger Vigtig CVE-2018-4994
Tilsidesættelse af godkendelse Overtagelse af session Vigtig CVE-2018-12804
Usikker indlæsning af bibliotek Eskalering af rettigheder Moderat CVE-2018-12805

Bemærk: CVE-2018-12805 blev løst i version 9.7 af installationsprogrammet til Connect add-in.  

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)