Bulletin-ID
Zuletzt aktualisiert am
2. August 2023
Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB23-40
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB23-40 |
11. Juli 2023 |
1 |
Zusammenfassung
Adobe hat Sicherheits-Updates für ColdFusion, Version 2023, 2021 und 2018, veröffentlicht. Diese Updates beheben kritische und wichtige Schwachstellen, die zur Ausführung von beliebigem Code und zur Umgehung von Sicherheitsfunktionen führen können.
Adobe ist bekannt, dass CVE-2023-29298 in sehr begrenztem Umfang für Angriffe auf Adobe ColdFusion ausgenutzt wurde.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2018 |
Update 16 und ältere Versionen |
Alle |
|
ColdFusion 2021 |
Update 6 und ältere Versionen |
Alle |
|
ColdFusion 2023 |
GA-Version (2023.0.0.330468) |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2018 |
Update 17 |
Alle |
1 |
|
|
ColdFusion 2021 |
Update 7 |
Alle |
1 |
|
|
ColdFusion 2023 |
Update 1 |
Alle |
1 |
Hinweis:
Adobe empfiehlt, Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren. Prüfen Sie die ColdFusion-Support-Matrix für Ihre unterstützte JDK-Version
Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt. Weitere Einzelheiten finden Sie in den technischen Hinweisen.
Adobe empfiehlt zudem, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
|
Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Unzulässige Beschränkung übermäßiger Authentifizierungsversuche (CWE-307) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Stephen Fewer - CVE-2023-29298
- Nicolas Zilio (CrowdStrike) - CVE-2023-29300
- Brian Reilly - CVE-2023-29301
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
ColdFusion JDK-Anforderung
ColdFusion 2023 (Version 2023.0.0.330468) und höher
Für Anwendungsserver
Bei JEE-Installationen das folgende JVM-Flag festlegen: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Anwendungsserver: editieren Sie JAVA_OPTS in der Datei
'Catalina.bat/sh' WebLogic Anwendungsserver: editieren Sie JAVA_OPTIONS in der Datei
'startWeblogic.cmd' WildFly/EAP Anwendungsserver: editieren Sie JAVA_OPTS in der Datei
'standalone.conf' Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Anwendungsserver: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungsserver: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungsserver: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
COLDFUSION 2018 HF1 und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Anwendungsserver: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungsserver: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungsserver: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Überarbeitungen
19. Juli 2023
- Zusammenfassender Absatz, der aktualisiert wurde, um den Status Adobe ist sich bewusst, dass CVE-2023-29298 in der Wildnis in begrenzten Angriffen auf Adobe ColdFusion ausgenutzt wurde.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
