Bulletin-ID
Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB22-44
|
Veröffentlichungsdatum |
Priorität |
APSB22-44 |
11. Oktober 2022 |
3 |
Zusammenfassung
Adobe hat Sicherheits-Updates für ColdFusion, Version 2021 und 2018, veröffentlicht. Diese Updates beheben gravierende, wichtige und mittelschwere Sicherheitslücken, die zur Ausführung von beliebigem Code, zum Schreiben in beliebige Dateisysteme, zur Umgehung von Sicherheitsfunktionen und zur Ausdehnung von Privilegien führen können.
Betroffene Versionen
Produkt |
Updatenummer |
Plattform |
ColdFusion 2018 |
Update 14 und ältere Versionen |
Alle |
ColdFusion 2021 |
Update 4 und ältere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
---|---|---|---|---|
ColdFusion 2018 |
Update 15 |
Alle |
3 |
|
ColdFusion 2021 |
Update 5 |
Alle |
3 |
Adobe empfiehlt, Ihr ColdFusion-JDK/JRE auf die neueste Version der LTS-Versionen für LTS und JDK 11 zu aktualisieren. Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt. Weitere Einzelheiten finden Sie in den technischen Hinweisen.
Adobe empfiehlt zudem, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
Stapelbasierter Pufferüberlauf (CWE-121) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
Heap-basierter Pufferüberlauf (CWE-122) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
Stapelbasierter Pufferüberlauf (CWE-121) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
Heap-basierter Pufferüberlauf (CWE-122) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürliche Ausführung von Code |
Kritisch |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
Willkürlicher Dateisystem-Lesezugriff |
Wichtig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
Verwendung hartkodierter Anmeldeinformationen (CWE-798) |
Berechtigungsausweitung |
Wichtig |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürliche Ausführung von Code |
Wichtig |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
Informationsexposition (CWE-200) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Umgehung der Sicherheitsfunktionen |
Mittel |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürlicher Dateisystem-Schreibzugriff |
Kritisch |
7,2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
Wichtig |
7,5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
|
Wichtig
|
7,5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- anonym in Zusammenarbeit mit der Zero Day Initiative von Trend Micro - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb - CVE-2022-42340, CVE-2022-42341
ColdFusion JDK-Anforderung
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Application Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Application Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
COLDFUSION 2018 HF1 und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Application Server: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Application Server: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Application Server: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com