Bulletin-ID
Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB22-22
|
Veröffentlichungsdatum |
Priorität |
APSB22-22 |
10. Mai 2022 |
3 |
Zusammenfassung
Adobe hat Sicherheits-Updates für ColdFusion, Version 2021 und 2018, veröffentlicht. Diese Updates beheben eine Wichtige Sicherheitslücke, die zur Ausführung von beliebigem Code führen könnte.
Betroffene Versionen
Produkt |
Updatenummer |
Plattform |
ColdFusion 2018 |
Update 13 und ältere Versionen |
Alle |
ColdFusion 2021 |
Version 3 und früher |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
---|---|---|---|---|
ColdFusion 2018 |
Update 14 |
Alle |
3 |
|
ColdFusion 2021 |
Update 4 |
Alle |
3 |
Adobe empfiehlt, Ihr ColdFusion-JDK/JRE auf die neueste Version der LTS-Versionen für 1.8 und JDK 11 zu aktualisieren. Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt. Weitere Einzelheiten finden Sie in den technischen Hinweisen.
Adobe empfiehlt zudem, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-28818 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- UB3RSiCK (ub3rsick) - CVE-2022-28818
ColdFusion JDK-Anforderung
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Application Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Application Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
COLDFUSION 2018 HF1 und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Application Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Application Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com