Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB22-44

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB22-44

11. Oktober 2022

3

Zusammenfassung

Adobe hat Sicherheits-Updates für ColdFusion, Version 2021 und 2018, veröffentlicht. Diese Updates beheben gravierendewichtige  und mittelschwere  Sicherheitslücken, die zur Ausführung von beliebigem Code, zum Schreiben in beliebige Dateisysteme, zur Umgehung von Sicherheitsfunktionen und zur Ausdehnung von Privilegien führen können.



   

Betroffene Versionen

Produkt

Updatenummer

Plattform

ColdFusion 2018

Update 14 und ältere Versionen    

Alle

ColdFusion 2021

Update 4 und ältere Versionen

Alle

Lösung

Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:

Produkt

Aktualisierte Version

Plattform

Priorität

Verfügbarkeit

ColdFusion 2018

Update 15

Alle

3

ColdFusion 2021

Update 5

Alle

3

Hinweis:

Adobe empfiehlt, Ihr ColdFusion-JDK/JRE auf die neueste Version der LTS-Versionen für LTS und JDK 11 zu aktualisieren. Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt.  Weitere Einzelheiten finden Sie in den technischen Hinweisen. 

Adobe empfiehlt zudem, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.    

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVSS-Basispunktzahl 

CVE-Nummern

Stapelbasierter Pufferüberlauf (CWE-121)

Willkürliche Ausführung von Code

Kritisch

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35710

Heap-basierter Pufferüberlauf (CWE-122)

Willkürliche Ausführung von Code

Kritisch

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35711

Stapelbasierter Pufferüberlauf (CWE-121)

Willkürliche Ausführung von Code

Kritisch

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35690

Heap-basierter Pufferüberlauf (CWE-122)

Willkürliche Ausführung von Code

Kritisch

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35712

Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22)

Willkürliche Ausführung von Code

Kritisch

8.1

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38418

Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611)

Willkürlicher Dateisystem-Lesezugriff

Wichtig

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38419

Verwendung hartkodierter Anmeldeinformationen (CWE-798)

Berechtigungsausweitung

Wichtig

6.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

CVE-2022-38420

Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22)

Willkürliche Ausführung von Code

Wichtig

6.6

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38421

Informationsexposition (CWE-200)

Umgehung der Sicherheitsfunktionen

Wichtig

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2022-38422

Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22)

Umgehung der Sicherheitsfunktionen

Mittel

4.4

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38423

Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22)

Willkürlicher Dateisystem-Schreibzugriff

Kritisch

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38424


Unangemessene Eingabevalidierung (CWE-20)


Willkürlicher Dateisystem-Lesezugriff

Wichtig

7,5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42340

Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611)


Willkürlicher Dateisystem-Lesezugriff

Wichtig

 

7,5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42341

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:

  • anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
  • reillyb - CVE-2022-42340, CVE-2022-42341

ColdFusion JDK-Anforderung

COLDFUSION 2021 (Version 2021.0.0.323925) und höher

Für Anwendungsserver   

Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers. 

Beispiel:   

Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“   

WebLogic Application Server:  Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“   

WildFly/EAP Application Server:  Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“   

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.   

 

COLDFUSION 2018 HF1 und höher  

Für Anwendungsserver   

Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers. 

Beispiel:   

Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“   

WebLogic Application Server:  Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“   

WildFly/EAP Application Server:  Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“   

Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.   

 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com 

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online