Säkerhetsuppdateringar för Adobe Connect | APSB18-22
Bulletin-ID Publiceringsdatum Prioritet
APSB18-22 den 10 juli 2018 2

Sammanfattning

Adobe har släppt en säkerhetsuppdatering för Adobe Connect.  Den här uppdateringen åtgärdar en viktig sårbarhet gällande kringgående av autentisering (CVE-2018-4994), som kan leda till att känslig information exponeras om sårbarheten utnyttjas.  Den här uppdateringen åtgärdar även en viktig sårbarhet gällande sessionshantering på grund av otillräcklig validering av sessionstokens för Connect-möte  Slutligen läser installationsprogrammet för Connect-tillägg före 9.7 in DLL-filer på ett osäkert sätt, vilket kan utnyttjas för att eskalera lokala behörigheter.

Berörda produktversioner

Produkt Version Plattform
Adobe Connect 9.7.5 och tidigare versioner Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt Version Plattform Prioritet Tillgänglighet
Adobe Connect 9.8.1 Alla 2 Versionsinformation

Obs! Som tidigare nämnts i APSB18-18 kan kunder avhjälpa detta för CVE-2018-4994 genom att Tomcat-filter modifieras så att fjärråtkomst till systemets konfigurationsfilter förhindras.  Läs mer i det här hjälpdokumentet. Version 9.8.1 inkluderar den här konfigurationsändringen i standardkonfigurationer.

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet CVE-nummer
Kringgående av autentisering Exponering av känslig information Viktig CVE-2018-4994
Kringgående av autentisering Sessionskapning Viktig CVE-2018-12804
Osäker inläsning av bibliotek Eskalering av behörighet Måttlig CVE-2018-12805

Obs! CVE-2018-12805 åtgärdades i installationsprogrammet för Connect-tillägg version 9.7.  

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)