Adobe Connect için güvenlik güncellemesi mevcut | APSB18-22
Bülten No Yayınlandığı Tarih Öncelik
APSB18-22 10 Temmuz 2018 2

Özet

Adobe, Adobe Connect için bir güvenlik güncellemesi yayınlandı.  Bu güncelleme, önemli olarak nitelendirilebilecek bir yetkisiz giriş güvenlik açığını (CVE-2018-4994) çözer. Bu açıktan başarıyla faydalanılması halinde hassas bilgiler ifşa edilebilir.  Bu güncelleştirme ayrıca, Connect toplantı oturumu belirteçlerinin yetersiz doğrulanması nedeniyle önemli bir oturum yönetimi güvenlik açığı sorununu çözer.  9.7'den önceki Connect eklenti yükleyicisi, DLL dosyalarını güvenliksiz bir şekilde yüklediği için yerel ayrıcalıkları artırma doğrultusunda kötüye kullanılabilir.

Etkilenen ürün sürümleri

Ürün Sürüm Platform
Adobe Connect 9.7.5 ve önceki sürümler Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir:

Ürün Sürüm Platform Öncelik Bulunma Durumu
Adobe Connect 9.8.1  Tümü 2 Sürüm notu

Not: Daha önce APSB18-18'de belirtildiği gibi müşteriler, sistem yapılandırma dosyalarına uzaktan erişimi önlemek için Tomcat filtrelerini değiştirerek CVE-2018-4994 güvenlik açığını önleyebilirler.  Ayrıntılar için lütfen bu yardım belgesine bakın.9.8.1 sürümündeki varsayılan yapılandırmalarda bu yapılandırma değişikliği mevcuttur. 

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi CVE Numarası
Kimlik doğrulama bypass'ı Hassas Bilgi İfşası Önemli CVE-2018-4994
Kimlik doğrulama bypass'ı Oturumu ele geçirme Önemli CVE-2018-12804
Güvenli Olmayan Kitaplık Yüklemesi Ayrıcalığı Yükseltme Orta Dereceli CVE-2018-12805

Not: CVE-2018-12805 sorunu, Connect eklenti yükleyicisinin 9.7. sürümünde çözülmüştür.  

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adbe ile işbirliği yaptıkları için aşağıdaki kişilere teşekkür eder:

  • Tanner LLC (CVE-2018-4994) 

  • BlackWingCat (CVE-2018-12805)