Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Connect | APSB18-22

Bulletin-ID

Dato publisert

Prioritet

APSB18-22

10. juli 2018

2

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for Adobe Connect.  Disse oppdateringene løser et viktig sikkerhetsproblem med autentiseringsomgåelse (CVE-2018-4994), som kan føre til avsløring av sensitiv informasjon hvis det utnyttes.  Denne oppdateringen løser også et viktig sikkerhetsproblem med økthåndtering på grunn av utilstrekkelig validering av økttokener for Connect-møte.  Installasjonsprogrammet for Connect-tillegget før 9.7 laster inn DLL-filer på en usikker måte, og dette kan misbrukes for å eskalere lokale privilegier. 

Berørte produktversjoner

Produkt

Versjon

Plattform

Adobe Connect

9.7.5 og eldre versjoner

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

Adobe Connect

9.8.1 

Alle

2

Merk: Som nevnt tidligere i  APSB18-18, er en forsterkning for CVE-2018-4994 tilgjengelig for kunder ved å endre Tomcat-filtre for å forhindre ekstern tilgang til systemkonfigurasjonsfiler.  Se dette hjelpedokumentet for mer informasjon. Versjon 9.8.1 inneholder denne konfigurasjonsendringen i standardkonfigurasjoner. 

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVE-nummer

Autentiseringsomgåelse

Avsløring av sensitiv informasjon

CVE-2018-4994

Autentiseringsomgåelse

Kapring av økt (session hijacking)

CVE-2018-12804

Usikker innlasting av bibliotek

Rettighetsutvidelse

CVE-2018-12805

Merk: CVE-2018-12805 ble løst i installasjonsprogrammet for Connec-tillegget versjon 9.7.  

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)

Adobe-logoen

Logg på kontoen din