Bulletin-ID
Zuletzt aktualisiert am
10. April 2023
Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB23-25
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB23-25 |
14. März 2023 |
1 |
Zusammenfassung
Adobe hat Sicherheits-Updates für ColdFusion, Version 2021 und 2018, veröffentlicht. Diese Updates beheben kritische und wichtige Schwachstellen, die zur Ausführung von beliebigem Code und zu Speicherlecks führen können.
Adobe ist bekannt, dass CVE-2023-26360 in sehr begrenztem Umfang für Angriffe auf Adobe ColdFusion ausgenutzt wurde.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2018 |
Update 15 und ältere Versionen |
Alle |
|
ColdFusion 2021 |
Update 5 und ältere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2018 |
Update 16 |
Alle |
1 |
|
|
ColdFusion 2021 |
Update 6 |
Alle |
1 |
Hinweis:
Adobe empfiehlt, Ihr ColdFusion-JDK/JRE auf die neueste Version der LTS-Versionen für LTS und JDK 11 zu aktualisieren. Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt. Weitere Einzelheiten finden Sie in den technischen Hinweisen.
Adobe empfiehlt zudem, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
|
Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-26359 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Willkürliche Ausführung von Code |
Kritisch |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26360 |
|
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Speicherverlust |
Wichtig |
4.9 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26361 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Patrick Vares (ELS-PHI) - CVE-2023-26359
- Charlie Arehart und Pete Freitag - CVE-2023-26360
- Dusan Stevanovic von Trend Micro - CVE-2023-26361
ColdFusion JDK-Anforderung
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Anwendungsserver: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungsserver: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungsserver: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
COLDFUSION 2018 HF1 und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Anwendungsserver: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungsserver: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungsserver: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Überarbeitungen
14. März 2023: Auswirkungen der Schwachstelle für CVE-2023-26360 überarbeitet
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
