ID do boletim
Última atualização em
9 de jan de 2025
Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB24-14
|
|
Data de publicação |
Prioridade |
|
APSB24-14 |
12 de março de 2024 |
1 |
Resumo
A Adobe lançou atualizações de segurança para as versões 2023 e 2021 do ColdFusion. Essas atualizações corrigem vulnerabilidades críticas que podem levar à leitura arbitrária do sistema de arquivos e a escalonamento de privilégios.
A Adobe está ciente de que o CVE-2024-20767 tem uma prova de conceito conhecida que pode causar uma leitura arbitrária do sistema de arquivos.
Versões afetadas
|
Produto |
Número da atualização |
Plataforma |
|
ColdFusion 2023 |
Atualização 6 e versões anteriores |
Todos |
|
ColdFusion 2021 |
Atualização 12 e versões anteriores |
Todos |
Solução
A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
|
Produto |
Versão atualizada |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
ColdFusion 2023 |
Atualização 12 |
Todos |
1 |
|
|
ColdFusion 2021 |
Atualização 18 |
Todos |
1 |
Observação:
Consulte a documentação atualizada do filtro serial para obter mais detalhes sobre a proteção contra ataques de desserialização insegura do Wddx https://helpx.adobe.com/br/coldfusion/kb/coldfusion-serialfilter-file.html
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Números CVE |
Observações |
|
|
Controle de acesso impróprio (CWE-284) |
Leitura arbitrária do sistema de arquivos |
Crítico |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Essa vulnerabilidade foi corrigida na atualização 12 do ColdFusion 2023 e na atualização 18 do ColdFusion 2021. Consulte APSB24-107 para mais informações. |
|
Autorização inadequada (CWE-287) |
Escalonamento de privilégio |
Crítico |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Isso foi resolvido no ColdFusion 2023 atualização 7 e posterior, e no ColdFusion 2021 atualização 13 e posterior. |
Agradecimentos:
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- ma4ter - CVE-2024-20767
- Brian Reilly (reillyb) – CVE-2024-45113
OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe
Observação:
A Adobe recomenda atualizar sua versão do ColdFusion JDK/JRE LTS para a versão mais recente. Verifique a matriz de suporte do ColdFusion abaixo para saber qual é a versão do JDK compatível.
Matriz de suporte do ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK NÃO protegerá o servidor. Consulte as notas técnicas relevantes para obter mais detalhes.
A Adobe recomenda que os clientes apliquem as configurações de segurança descritas na página Segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.
Requisito de JDK do ColdFusion
COLDFUSION 2023 (versão 2023.0.0.330468) e superior
Para servidores de aplicativos
Em instalações JEE, defina o seguinte sinalizador JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.
COLDFUSION 2021 (versão 2021.0.0.323925) e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
Revisões
23 de dezembro de 2024 - Atualizado: Resumo, Solução do ColdFusion 2023 atualização 7 para o ColdFusion 2023 atualização 12, ColdFusion 2021 atualização 13 para o ColdFusion 2021 atualização 18, prioridade de 3 para 1 e coluna Notas adicionada à tabela Detalhes de vulnerabilidade.
10 de setembro de 2024: adicionado CVE-2024-45113
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com
