Bulletin-ID
Sist oppdatert
7. mai 2021
|
Gjelder også for Adobe Connect
Sikkerhetsoppdateringer tilgjengelig for Adobe Connect | APSB18-22
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
APSB18-22 |
10. juli 2018 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Connect. Disse oppdateringene løser et viktig sikkerhetsproblem med autentiseringsomgåelse (CVE-2018-4994), som kan føre til avsløring av sensitiv informasjon hvis det utnyttes. Denne oppdateringen løser også et viktig sikkerhetsproblem med økthåndtering på grunn av utilstrekkelig validering av økttokener for Connect-møte. Installasjonsprogrammet for Connect-tillegget før 9.7 laster inn DLL-filer på en usikker måte, og dette kan misbrukes for å eskalere lokale privilegier.
Berørte produktversjoner
|
Produkt |
Versjon |
Plattform |
|---|---|---|
|
Adobe Connect |
9.7.5 og eldre versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
|
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Alle |
2 |
Merk: Som nevnt tidligere i APSB18-18, er en forsterkning for CVE-2018-4994 tilgjengelig for kunder ved å endre Tomcat-filtre for å forhindre ekstern tilgang til systemkonfigurasjonsfiler. Se dette hjelpedokumentet for mer informasjon. Versjon 9.8.1 inneholder denne konfigurasjonsendringen i standardkonfigurasjoner.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVE-nummer |
|---|---|---|---|
|
Autentiseringsomgåelse |
Avsløring av sensitiv informasjon |
CVE-2018-4994 |
|
|
Autentiseringsomgåelse |
Kapring av økt (session hijacking) |
CVE-2018-12804 |
|
|
Usikker innlasting av bibliotek |
Rettighetsutvidelse |
CVE-2018-12805 |
Merk: CVE-2018-12805 ble løst i installasjonsprogrammet for Connec-tillegget versjon 9.7.
Takk
Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
