Bulletin-id
Laatst bijgewerkt op
3 mei 2021
|
Ook van toepassing op Adobe Connect
Beveiligingsupdates beschikbaar voor Adobe Connect | APSB18-22
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB18-22 |
10 juli 2018 |
2 |
Samenvatting
Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Connect. Deze update verhelpt een belangrijke kwetsbaarheid met het omzeilen van de verificatie (CVE -2018-4994), wat, indien succesvol uitgevoerd, kon resulteren in het openbaar maken van gevoelige informatie. Deze update verhelpt ook een belangrijke kwetsbaarheid met sessiebeheer omdat er onvoldoende validatie was van tekens voor Connect-vergadersessies. Tot slot laadt het Connect-installatieprogramma van add-ins vóór versie 9.7 DLL-bestanden onveilig. Dit kon worden misbruikt om lokale bevoegdheden uit te breiden.
Van toepassing op de volgende productversies
|
Product |
Versie |
Platform |
|---|---|---|
|
Adobe Connect |
9.7.5 en eerder |
Alles |
Oplossing
Adobe heeft deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
|
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Alles |
2 |
Opmerking: Zoals eerder vermeld in APSB18-18, is er een oplossing voor CVE-2018-4994 beschikbaar voor klanten met Tomcat-filters om externe toegang tot systeemconfiguratiebestanden te voorkomen. Ga naar dit helpdocument voor details. Versie 9.8.1 bevat deze configuratiewijziging in standaard configuraties.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVE-nummer |
|---|---|---|---|
|
Omzeilen van de verificatie |
Openbaarmaking van gevoelige informatie |
CVE-2018-4994 |
|
|
Omzeilen van de verificatie |
Sessies kapen |
CVE-2018-12804 |
|
|
Laden van onveilige bibliotheek |
Bevoegdhedenescalatie |
CVE-2018-12805 |
Opmerking: CVE-2018-12805 is verholpen in het Connect-installatieprogramma voor add-ins versie 9.7.
Dankbetuigingen
Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
