Bulletin-id
Laatst bijgewerkt op
2 aug. 2023
Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB23-40
|
|
Publicatiedatum |
Prioriteit |
|
APSB23-40 |
11 juli 2023 |
1 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion versies 2023, 2021 en 2018. Deze updates verhelpen kritieke en belangrijke kwetsbaarheden die kunnen leiden tot het uitvoeren van willekeurige code en het omzeilen van beveiligingsfuncties.
Adobe is ervan op de hoogte dat CVE-2023-29298 door onbevoegden wordt geëxploiteerd in zeldzame aanvallen tegen Adobe ColdFusion.
Van toepassing op de volgende versies
|
Product |
Nummer update |
Platform |
|
ColdFusion 2018 |
Update 16 en eerdere versies |
Alles |
|
ColdFusion 2021 |
Update 6 en eerdere versies |
Alle |
|
ColdFusion 2023 |
GA-release (2023.0.0.330468) |
Alles |
Oplossing
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
|
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
|---|---|---|---|---|
|
ColdFusion 2018 |
Update 17 |
Alles |
1 |
|
|
ColdFusion 2021 |
Update 7 |
Alles |
1 |
|
|
ColdFusion 2023 |
Update 1 |
Alle |
1 |
Opmerking:
Adobe raadt u aan uw ColdFusion JDK/JRE LTS-versie te updaten naar de nieuwste updaterelease. In de ColdFusion-ondersteuningsmatrix hieronder kunt u uw ondersteunde JDK-versie vinden.
Als u de ColdFusion-update zonder bijbehorende JDK-update toepast, is de server NIET beveiligd. Raadpleeg voor meer informatie de relevante technische opmerkingen.
Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven op de beveiligingspagina van ColdFusion, en om de bijbehorende handleidingen voor lockdown te bekijken.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummers |
|
|
Onjuist toegangsbeheer (CWE-284) |
Omzeiling van beveiligingsfunctie |
Kritiek |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserialisatie van niet-vertrouwde gegevens (CWE-502) |
Uitvoering van willekeurige code |
Kritiek |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Onjuiste beperking van buitensporig aantal authenticatiepogingen (CWE-307) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Stephen Fewer - CVE-2023-29298
- Nicolas Zilio (CrowdStrike) - CVE-2023-29300
- Brian Reilly - CVE-2023-29301
OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.
Vereiste voor ColdFusion JDK
COLDFUSION 2023 (versie 2023.0.0.330468) en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Apache Tomcat-toepassingsserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-toepassingsserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-toepassingsserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2018 HF1 en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
Revisies
19 juli 2023
- Samenvatting bijgewerkt met de vermelding dat Adobe ervan op de hoogte is dat CVE-2023-29298 door onbevoegden wordt geëxploiteerd in zeldzame aanvallen tegen Adobe ColdFusion.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com
