Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB22-22

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB22-22

10. Mai 2022

3

Zusammenfassung

Adobe hat Sicherheits-Updates für ColdFusion, Version 2021 und 2018, veröffentlicht. Diese Updates beheben eine Wichtige  Sicherheitslücke, die zur Ausführung von beliebigem Code führen könnte.
   

Betroffene Versionen

Produkt

Updatenummer

Plattform

ColdFusion 2018

Update 13 und ältere Versionen    

Alle

ColdFusion 2021

Version 3 und früher

Alle

Lösung

Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:

Produkt

Aktualisierte Version

Plattform

Priorität

Verfügbarkeit

ColdFusion 2018

Update 14

Alle

3

ColdFusion 2021

Update 4

Alle

3

Hinweis:

Adobe empfiehlt, Ihr ColdFusion-JDK/JRE auf die neueste Version der LTS-Versionen für 1.8 und JDK 11 zu aktualisieren. Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt.  Weitere Einzelheiten finden Sie in den technischen Hinweisen. 

Adobe empfiehlt zudem, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.    

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVSS-Basispunktzahl 

CVE-Nummern

Cross-Site-Scripting (Reflektiertes XSS) (CWE-79)

Willkürliche Ausführung von Code

Wichtig 

5.4

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2022-28818

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:

  • UB3RSiCK (ub3rsick) - CVE-2022-28818

ColdFusion JDK-Anforderung

COLDFUSION 2021 (Version 2021.0.0.323925) und höher

Für Anwendungsserver   

Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers. 

Beispiel:   

Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“   

WebLogic Application Server:  Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“   

WildFly/EAP Application Server:  Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“   

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.   

 

COLDFUSION 2018 HF1 und höher  

Für Anwendungsserver   

Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers. 

Beispiel:   

Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“   

WebLogic Application Server:  Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“   

WildFly/EAP Application Server:  Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“   

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.   

 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com 

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online