ID do boletim
Última atualização em
2 de ago de 2023
Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB23-40
|
|
Data de publicação |
Prioridade |
|
APSB23-40 |
11 de julho de 2023 |
1 |
Resumo
A Adobe lançou atualizações de segurança para as versões 2023, 2021 e 2018 do ColdFusion. Esta atualização resolve vulnerabilidades críticas e importantes que poderiam levar à execução arbitrária de código e desvios de recursos de segurança..
A Adobe está ciente de que o CVE-2023-29298 tem sido explorado na Web em ataques muito limitados contra o Adobe ColdFusion.
Versões afetadas
|
Produto |
Número da atualização |
Plataforma |
|
ColdFusion 2018 |
Atualização 16 de e versões anteriores |
Todos |
|
ColdFusion 2021 |
Atualização 6 e versões anteriores |
Todos |
|
ColdFusion 2023 |
Versão de GA (2023.0.0.330468) |
Todos |
Solução
A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
|
Produto |
Versão atualizada |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
ColdFusion 2018 |
Atualização 17 |
Todos |
1 |
|
|
ColdFusion 2021 |
Atualização 7 |
Todos |
1 |
|
|
ColdFusion 2023 |
Atualização 1 |
Todos |
1 |
Observação:
A Adobe recomenda atualizar sua versão do ColdFusion JDK/JRE LTS para a versão mais recente. Verifique a matriz de suporte de ColdFusion para a versão JDK suportada
Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK NÃO protegerá o servidor. Consulte as notas técnicas relevantes para obter mais detalhes.
A Adobe recomenda que os clientes apliquem as configurações de segurança descritas na página Segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Números CVE |
|
|
Controle de acesso impróprio (CWE-284) |
Falha de recurso de segurança |
Crítico |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Cancelamento de serialização de dados não confiáveis (CWE-502) |
Execução de código arbitrário |
Crítico |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Restrição inadequada de tentativas excessivas de autenticação (CWE-307) |
Falha de recurso de segurança |
Importante |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por relatarem os problemas relevantes e por trabalharem com a Adobe para ajudar a proteger os nossos clientes:
- Stephen Fewer - CVE-2023-29298
- Nicolas Zilio (CrowdStrike) - CVE-2023-29300
- Brian Reilly - CVE-2023-29301
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Requisito de JDK do ColdFusion
COLDFUSION 2023 (versão 2023.0.0.330468) e superior
Para servidores de aplicativos
Em instalações JEE, defina o seguinte sinalizador JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.
COLDFUSION 2021 (versão 2021.0.0.323925) e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
COLDFUSION 2018 HF1 e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
Revisões
19 de julho de 2023
- Parágrafo de resumo atualizado para informar que a Adobe está ciente de que o CVE-2023-29298 tem sido explorado na Web em ataques muito limitados contra o Adobe ColdFusion.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com
