Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe Connect | APSB18-22

ID bollettino

Data di pubblicazione

Priorità

APSB18-22

10 luglio 2018

2

Riepilogo

Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect.  Questo aggiornamento risolve un'importante vulnerabilità di aggiramento dell'autenticazione(CVE-2018-4994). Tale vulnerabilità, se sfruttata, potrebbe provocare la divulgazione di informazioni riservate.  Questo aggiornamento risolve inoltre un'importante vulnerabilità di gestione delle sessioni, causata dalla convalida inadeguata dei token di sessione delle riunioni di Connect.  Infine, il programma di installazione del componente aggiuntivo di Connect, nelle versioni antecedenti a 9.7, carica i file DLL in modalità non protetta, una condizione che può essere sfruttata per la riassegnazione dei privilegi locali. 

Versioni del prodotto interessate

Prodotto

Versione

Piattaforma

Adobe Connect

9.7.5 e versioni precedenti

Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:

Prodotto

Versione

Piattaforma

Priorità

Disponibilità

Adobe Connect

9.8.1 

Tutte

2

Nota: come accennato in precedenza in APSB18-18, per i clienti è disponibile un'attenuazione per CVE-2018-4994 mediante la modifica dei filtri Tomcat per impedire l'accesso in remoto ai file di configurazione del sistema.  Per informazioni dettagliate, consultate questo documento della guida . Nella versione 9.8.1 questa modifica è inclusa nelle configurazioni predefinite. 

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Codice CVE

Aggiramento di autenticazione

Divulgazione di informazioni riservate

CVE-2018-4994

Aggiramento di autenticazione

Dirottamento di sessione

CVE-2018-12804

Caricamento della libreria non sicuro

Acquisizione illecita di privilegi

CVE-2018-12805

Nota: CVE-2018-12805 è stato risolto nella versione 9.7 del programma di installazione del componente aggiuntivo di Connect.  

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)

Logo Adobe

Accedi al tuo account