Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Connect verfügbar | APSB18-22

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB18-22

10. Juli 2018

2

Zusammenfassung

Adobe hat ein Sicherheits-Update für Adobe Connect veröffentlicht. Durch dieses Update wird eine wichtige Sicherheitslücke zur Umgehung der Authentifizierung (CVE-2018-4994) geschlossen, die bei erfolgreicher Ausnutzung zur Offenlegung vertraulicher Informationen führen kann.  Zudem wird durch dieses Update eine wichtige Sicherheitslücke bei der Sitzungsverwaltung geschlossen, die aufgrund einer unzureichenden Gültigkeitsprüfung von Sitzungstokens für Connect-Meetings entstand.  Außerdem wurden DLL-Dateien vom Connect-Add-in-Installationsprogramm vor 9.7 nicht sicher hochgeladen, was zur Ausweitung lokaler Berechtigungen genutzt werden kann. 

Betroffene Produktversionen

Produkt

Version

Plattform

Adobe Connect

9.7.5 und früher

Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt

Version

Plattform

Priorität

Verfügbarkeit

Adobe Connect

9.8.1 

Alle

2

Hinweis: Wie bereits in APSB18-18 erwähnt, können Kunden die Auswirkungen von CVE-2018-4994 abschwächen, indem sie die Tomcat-Filter ändern, um den Remote-Zugriff auf Systemkonfigurationsdateien zu verhindern.  Details finden Sie in diesem Hilfedokument. Version 9.8.1 enthält diese Konfigurationsänderung in Standardkonfigurationen. 

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVE-Nummer

Umgehung der Authentifizierung

Offenlegung vertraulicher Informationen

CVE-2018-4994

Umgehung der Authentifizierung

Session Hijacking

CVE-2018-12804

Laden unsicherer Bibliotheken

Berechtigungsausweitung

CVE-2018-12805

Hinweis: CVE-2018-12805 wurde im Connect-Add-in-Installationsprogramm Version 9.7 behoben.  

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)

Adobe-Logo

Bei Ihrem Konto anmelden

[Feedback V2 Badge]