Buletin de securitate Adobe

Adobe a lansat o actualizare de securitate pentru Adobe Connect.Această actualizare rezolvă o vulnerabilitate importantă de ocolire a autentificării (CVE-2018-4994), ce poate duce la dezvăluirea de informații sensibile dacă este exploatată cu succes.Această actualizare rezolvă, de asemenea, o vulnerabilitateimportantă de management al sesiunilor datorată validării inadecvate a tokenurilor de sesiune de întâlniri Connect.În final, utilitarul de instalare a programului de completare Connect, în versiunile mai vechi de 9.7, încarcă în mod nesigur fișiere DLL, ce pot fi abuzate pentru promovarea privilegiilor locale.

Versiunile de produs afectate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:

Notă: așa cum s-a menționat anterior în APSB18-18, o atenuare pentru CVE-2018-4994 este disponibilă pentru clienți prin modificarea filtrelor Tomcat pentru a preveni accesul de la distanță la fișierele de configurare ale sistemului.Consultați acest document de ajutor pentru detalii.Versiunea 9.8.1 include această schimbare de configurație în configurațiile implicite.

Detalii privind vulnerabilitatea

Notă: CVE-2018-12805 a fost rezolvat în utilitarul de instalare a programului de completare Connect versiunea 9.7.  

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării securității clienților noștri:

• Tanner LLC (CVE-2018-4994) 

• BlackWingCat (CVE-2018-12805)