Adobe Connectin tietoturvapäivitys saatavana | APSB18-22
Tiedotteen tunnus Julkaisupäivä Prioriteetti
APSB18-22 10. heinäkuuta 2018 2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Connectiin.  Tämä päivitys korjaa tärkeän todennuksen ohituksen haavoittuvuuden (CVE-2018-4994), jonka hyväksikäyttö voisi aiheuttaa arkaluonteisten tietojen paljastumisen.  Tämä päivitys korjaa myös tärkeän istunnonhallinnan haavoittuvuuden, joka johtuu Connect-kokousistunnon tunnisteiden riittämättömästä vahvistuksesta.  Lisäksi versiota 9.7 edeltävä Connect-lisäosa-asennusohjelma lataa suojaamattomasti DLL-tiedostoja, joita voitaisiin käyttää paikallisten käyttöoikeuksien laajentamiseen.

Alttiit tuoteversiot

Tuote Versio Ympäristö
Adobe Connect 9.7.5 ja aiemmat versiot Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote Versio Ympäristö Prioriteetti Saatavuus
Adobe Connect 9.8.1  Kaikki 2 Julkaisutiedot

Huomautus: kuten aiemmin on mainittu APSB18-18-ilmoituksen osalta, asiakkaiden saatavissa on korjaus CVE-2018-4994-haavoittuvuuteen muokkaamalla Tomcat-suodattimia niin, että ne estävät etäyhteyden järjestelmän kokoonpanotiedostoihin.  Lisätietoja on tässä ohjeasiakirjassa. Versio 9.8.1 sisältää tämän kokoonpanon muutoksen oletuskokoonpanoissa.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus CVE-numero
Varmistuksen ohitus Arkaluonteisten tietojen paljastuminen Tärkeä CVE-2018-4994
Varmistuksen ohitus Istunnon kaappaus Tärkeä CVE-2018-12804
Turvattoman kirjaston lataus Käyttöoikeuksien laajennus Kohtalainen CVE-2018-12805

Huomautus: CVE-2018-12805 ratkaistiin Connect-lisäosa-asennusohjelman versiossa 9.7.  

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)