Bülten No
Son güncelleme:
21 May 2021
|
Ayrıca şunun için geçerlidir: Adobe Connect
Adobe Connect için güvenlik güncellemesi mevcut | APSB18-22
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB18-22 |
10 Temmuz 2018 |
2 |
Özet
Adobe, Adobe Connect için bir güvenlik güncellemesi yayınlandı. Bu güncelleme, önemli olarak nitelendirilebilecek bir yetkisiz giriş güvenlik açığını (CVE-2018-4994) çözer. Bu açıktan başarıyla faydalanılması halinde hassas bilgiler ifşa edilebilir. Bu güncelleştirme ayrıca, Connect toplantı oturumu belirteçlerinin yetersiz doğrulanması nedeniyle önemli bir oturum yönetimi güvenlik açığı sorununu çözer. 9.7'den önceki Connect eklenti yükleyicisi, DLL dosyalarını güvenliksiz bir şekilde yüklediği için yerel ayrıcalıkları artırma doğrultusunda kötüye kullanılabilir.
Etkilenen ürün sürümleri
|
Ürün |
Sürüm |
Platform |
|---|---|---|
|
Adobe Connect |
9.7.5 ve önceki sürümler |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:
|
Ürün |
Sürüm |
Platform |
Öncelik |
Bulunma Durumu |
|---|---|---|---|---|
|
Adobe Connect |
9.8.1 |
Tümü |
2 |
Not: Daha önce APSB18-18'de belirtildiği gibi müşteriler, sistem yapılandırma dosyalarına uzaktan erişimi önlemek için Tomcat filtrelerini değiştirerek CVE-2018-4994 güvenlik açığını önleyebilirler. Ayrıntılar için lütfen bu yardım belgesine bakın.9.8.1 sürümündeki varsayılan yapılandırmalarda bu yapılandırma değişikliği mevcuttur.
Güvenlik açığı detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVE Numarası |
|---|---|---|---|
|
Kimlik doğrulama bypass'ı |
Hassas Bilgi İfşası |
CVE-2018-4994 |
|
|
Kimlik doğrulama bypass'ı |
Oturumu ele geçirme |
CVE-2018-12804 |
|
|
Güvenli Olmayan Kitaplık Yüklemesi |
Ayrıcalığı Yükseltme |
CVE-2018-12805 |
Not: CVE-2018-12805 sorunu, Connect eklenti yükleyicisinin 9.7. sürümünde çözülmüştür.
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:
Tanner LLC (CVE-2018-4994)
BlackWingCat (CVE-2018-12805)
