Bulletin-id
Laatst bijgewerkt op
9 jan. 2025
Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB24-14
|
|
Publicatiedatum |
Prioriteit |
|
APSB24-14 |
12 maart 2024 |
1 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion 2023 en 2021. Deze updates verhelpen kritieke kwetsbaarheden die kunnen leiden tot het willekeurig lezen van bestandssystemen en escalatie van bevoegdheden.
Adobe is zich ervan bewust dat CVE-2024-20767 een bekende proof-of-concept heeft die een willekeurig bestandssysteem kan lezen.
Van toepassing op de volgende versies
|
Product |
Nummer update |
Platform |
|
ColdFusion 2023 |
Update 6 en eerdere versies |
Alles |
|
ColdFusion 2021 |
Update 12 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
|
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
|---|---|---|---|---|
|
ColdFusion 2023 |
Update 12 |
Alles |
1 |
|
|
ColdFusion 2021 |
Update 18 |
Alles |
1 |
Opmerking:
Zie de bijgewerkte seriële filterdocumentatie voor meer informatie over de bescherming tegen onveilige Wddx-deserialisatieaanvallen https://helpx.adobe.com/nl/coldfusion/kb/coldfusion-serialfilter-file.html
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummers |
Opmerkingen |
|
|
Onjuist toegangsbeheer (CWE-284) |
Lezen van willekeurige bestandssystemen |
Kritiek |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Deze kwetsbaarheid is verder verholpen in ColdFusion 2023 Update 12 en ColdFusion 2021 Update 18. Raadpleeg APSB24-107 voor meer informatie. |
|
Onjuiste authenticatie (CWE-287) |
Escalatie van bevoegdheden |
Kritiek |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Dit is opgelost in ColdFusion 2023 Update 7 en later, en ColdFusion 2021 Update 13 en later. |
Dankbetuigingen:
Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- ma4ter - CVE-2024-20767
- Brian Reilly (reillyb) - CVE-2024-45113
OPMERKING: Adobe heeft een openbaar bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, kijk dan hier: https://hackerone.com/adobe
Opmerking:
Adobe raadt u aan uw ColdFusion JDK/JRE LTS-versie te updaten naar de nieuwste updaterelease. In de ColdFusion-ondersteuningsmatrix hieronder kunt u uw ondersteunde JDK-versie vinden.
ColdFusion-ondersteuningsmatrix:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Als u de ColdFusion-update zonder bijbehorende JDK-update toepast, is de server NIET beveiligd. Raadpleeg voor meer informatie de relevante technische opmerkingen.
Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven op de beveiligingspagina van ColdFusion, en om de bijbehorende handleidingen voor lockdown te bekijken.
Vereiste voor ColdFusion JDK
COLDFUSION 2023 (versie 2023.0.0.330468) en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Apache Tomcat-toepassingsserver: bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-toepassingsserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-toepassingsserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
Revisies
23 december 2024 - Bijgewerkt: Samenvatting, Oplossing van ColdFusion 2023 Update 7 tot ColdFusion 2023 Update 12, ColdFusion 2021 Update 13 tot ColdFusion 2021 Update 18, Prioriteit van 3 naar 1 en kolom Opmerkingen toegevoegd aan de tabel Details van de kwetsbaarheid.
10 september 2024: CVE-2024-45113 toegevoegd
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com
