Actualizări de securitate disponibile pentru Adobe Connect | APSB18-22
ID buletin Data publicării Prioritatea
APSB18-22 10 iulie 2018 2

Sumar

Adobe a lansat o actualizare de securitate pentru Adobe Connect.Această actualizare rezolvă o vulnerabilitate importantă de ocolire a autentificării (CVE-2018-4994), ce poate duce la dezvăluirea de informații sensibile dacă este exploatată cu succes.Această actualizare rezolvă, de asemenea, o vulnerabilitateimportantă de management al sesiunilor datorată validării inadecvate a tokenurilor de sesiune de întâlniri Connect.În final, utilitarul de instalare a programului de completare Connect, în versiunile mai vechi de 9.7, încarcă în mod nesigur fișiere DLL, ce pot fi abuzate pentru promovarea privilegiilor locale.

Versiunile de produs afectate

Produs Versiunea Platformă
Adobe Connect 9.7.5 și versiunile anterioare Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:

Produs Versiunea Platformă Prioritatea Disponibilitate
Adobe Connect 9.8.1  Toate 2 Notă de lansare

Notă: așa cum s-a menționat anterior în APSB18-18, o atenuare pentru CVE-2018-4994 este disponibilă pentru clienți prin modificarea filtrelor Tomcat pentru a preveni accesul de la distanță la fișierele de configurare ale sistemului.Consultați acest document de ajutor pentru detalii.Versiunea 9.8.1 include această schimbare de configurație în configurațiile implicite.

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Număr CVE
Ocolirea autentificării Divulgare de informații sensibile Importantă CVE-2018-4994
Ocolirea autentificării Piratarea sesiunilor Importantă CVE-2018-12804
Încărcare nesigură a bibliotecilor Escaladarea privilegiilor Moderată CVE-2018-12805

Notă: CVE-2018-12805 a fost rezolvat în utilitarul de instalare a programului de completare Connect versiunea 9.7.  

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării securității clienților noștri:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)