Tiedotteen tunnus
Päivitetty viimeksi
6. toukokuuta 2021
|
Koskee myös seuraavaa Adobe Connect
Adobe Connectin tietoturvapäivitys saatavana | APSB18-22
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB18-22 |
10. heinäkuuta 2018 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Connectiin. Tämä päivitys korjaa tärkeän todennuksen ohituksen haavoittuvuuden (CVE-2018-4994), jonka hyväksikäyttö voisi aiheuttaa arkaluonteisten tietojen paljastumisen. Tämä päivitys korjaa myös tärkeän istunnonhallinnan haavoittuvuuden, joka johtuu Connect-kokousistunnon tunnisteiden riittämättömästä vahvistuksesta. Lisäksi versiota 9.7 edeltävä Connect-lisäosa-asennusohjelma lataa suojaamattomasti DLL-tiedostoja, joita voitaisiin käyttää paikallisten käyttöoikeuksien laajentamiseen.
Alttiit tuoteversiot
|
Tuote |
Versio |
Ympäristö |
|---|---|---|
|
Adobe Connect |
9.7.5 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Kaikki |
2 |
Huomautus: kuten aiemmin on mainittu APSB18-18-ilmoituksen osalta, asiakkaiden saatavissa on korjaus CVE-2018-4994-haavoittuvuuteen muokkaamalla Tomcat-suodattimia niin, että ne estävät etäyhteyden järjestelmän kokoonpanotiedostoihin. Lisätietoja on tässä ohjeasiakirjassa. Versio 9.8.1 sisältää tämän kokoonpanon muutoksen oletuskokoonpanoissa.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVE-numero |
|---|---|---|---|
|
Varmistuksen ohitus |
Arkaluonteisten tietojen paljastuminen |
CVE-2018-4994 |
|
|
Varmistuksen ohitus |
Istunnon kaappaus |
CVE-2018-12804 |
|
|
Turvattoman kirjaston lataus |
Käyttöoikeuksien laajennus |
CVE-2018-12805 |
Huomautus: CVE-2018-12805 ratkaistiin Connect-lisäosa-asennusohjelman versiossa 9.7.
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
