ID del boletín
Última actualización el
2 ago. 2023
Actualizaciones de seguridad disponibles para Adobe ColdFusion | APSB23-41
|
|
Fecha de publicación |
Prioridad |
|
APSB23-41 |
14 de julio de 2023 |
1 |
Resumen
Adobe ha lanzado actualizaciones de seguridad para las versiones de 2023, 2021 y 2018 de ColdFusion.Estas actualizaciones solucionan una vulnerabilidad crítica que podría conducir a la ejecución de código arbitrario.
Adobe es consciente de que se ha publicado un blog de prueba de concepto para CVE-2023-38203.
Versiones afectadas
|
Producto |
Número de actualización |
Plataforma |
|
ColdFusion 2018 |
Actualización 17 y versiones anteriores |
Todas |
|
ColdFusion 2021 |
Actualización 7 y versiones anteriores |
Todas |
|
ColdFusion 2023 |
Actualización 1 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo a los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
|
Producto |
Versión actualizada |
Plataforma |
Nivel de prioridad |
Disponibilidad |
|---|---|---|---|---|
|
ColdFusion 2018 |
Actualización 18 |
Todas |
1 |
|
|
ColdFusion 2021 |
Actualización 8 |
Todas |
1 |
|
|
ColdFusion 2023 |
Actualización 2 |
Todas |
1 |
Nota:
Si en el futuro observa cualquier paquete que presente una vulnerabilidad de deserialización, utilice el archivo serialfilter.txt en <cfhome>/lib para incluir el paquete en la lista de bloqueados (p. ej.: !org.jroup.**;)
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Números CVE |
|
|
Deserialización de datos que no son de confianza (CWE-502) |
Ejecución de código arbitraria |
Crítica |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-38203 |
Reconocimientos:
Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- Rahul Maini, Harsh Jaiswal en Project Discovery Research: CVE-2023-38203
- MoonBack (ipplus360): CVE-2023-38203
NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.
Reconocimientos
Adobe desea dar las gracias a los siguientes investigadores por informar sobre este problema y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- Yonghui Han of Fortinet’s FortiGuard Labs - CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319
NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.
Nota:
Adobe recomienda actualizar JDK/JRE LTS de ColdFusion a la versión más reciente. Compruebe si su versión de JDK es compatible en la siguiente tabla de compatibilidad de ColdFusion.
Tabla de compatibilidad de ColdFusion:
CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
La actualización de ColdFusion sin la actualización de JDK correspondiente NO asegura el servidor. Consulte las notas técnicas relevantes para obtener más detalles.
Adobe también recomienda a sus clientes aplicar los ajustes de configuración de la página de seguridad de ColdFusion y consultar las guías de bloqueo correspondientes.
Requisito de JDK de ColdFusion
COLDFUSION 2023 (versión 2023.0.0.330468) y posteriores
Para servidores de aplicaciones
En las instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
COLDFUSION 2021 (versión 2021.0.0.323925) y posteriores
Para servidores de aplicaciones
En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
COLDFUSION 2018 HF1 y versiones posteriores
Para servidores de aplicaciones
En instalaciones de JEE, debe establecer la siguiente marca de JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
en el archivo de inicio correspondiente en función del tipo de servidor de aplicaciones que esté utilizando.
Por ejemplo:
Servidor de aplicaciones Apache Tomcat: edite JAVA_OPTS en el archivo ‘Catalina.bat/sh’
Servidor de aplicaciones WebLogic: edite JAVA_OPTIONS en el archivo ‘startWeblogic.cmd’
Servidor de aplicaciones WildFly/EAP: edite JAVA_OPTS en el archivo ‘standalone.conf’
Establezca las marcas de JVM en la instalación de JEE de ColdFusion, no en una instalación independiente.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com
