Adobe on julkaissut tietoturvapäivityksen Adobe Connectiin. Tämä päivitys korjaa tärkeän todennuksen ohituksen haavoittuvuuden (CVE-2018-4994), jonka hyväksikäyttö voisi aiheuttaa arkaluonteisten tietojen paljastumisen. Tämä päivitys korjaa myös tärkeän istunnonhallinnan haavoittuvuuden, joka johtuu Connect-kokousistunnon tunnisteiden riittämättömästä vahvistuksesta. Lisäksi versiota 9.7 edeltävä Connect-lisäosa-asennusohjelma lataa suojaamattomasti DLL-tiedostoja, joita voitaisiin käyttää paikallisten käyttöoikeuksien laajentamiseen.
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote | Versio | Ympäristö | Prioriteetti | Saatavuus |
Adobe Connect | 9.8.1 | Kaikki | 2 | Julkaisutiedot |
Huomautus: kuten aiemmin on mainittu APSB18-18-ilmoituksen osalta, asiakkaiden saatavissa on korjaus CVE-2018-4994-haavoittuvuuteen muokkaamalla Tomcat-suodattimia niin, että ne estävät etäyhteyden järjestelmän kokoonpanotiedostoihin. Lisätietoja on tässä ohjeasiakirjassa. Versio 9.8.1 sisältää tämän kokoonpanon muutoksen oletuskokoonpanoissa.
Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | CVE-numero |
Varmistuksen ohitus | Arkaluonteisten tietojen paljastuminen | Tärkeä | CVE-2018-4994 |
Varmistuksen ohitus | Istunnon kaappaus | Tärkeä | CVE-2018-12804 |
Turvattoman kirjaston lataus | Käyttöoikeuksien laajennus | Kohtalainen | CVE-2018-12805 |