Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Adobe ColdFusion | APSB23-25

ID bollettino

Data di pubblicazione

Priorità

APSB23-25

14 marzo 2023

1

Riepilogo

Adobe ha rilasciato alcuni aggiornamenti di sicurezza per ColdFusion, versioni 2021 e 2018. Questo aggiornamento risolve le vulnerabilità critiche e importanti  che potrebbero causare l'esecuzione di codice arbitrario e una perdita di memoria.

Adobe è consapevole che la vulnerabilità CVE-2023-26360 è stata sfruttata in un numero molto limitato di attacchi mirati ai commercianti di Adobe ColdFusion.

Versioni interessate

Prodotto

Numero aggiornamento

Piattaforma

ColdFusion 2018

Aggiornamento 15 e versioni precedenti    

Tutte

ColdFusion 2021

Aggiornamento 5 e versioni precedenti

Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:

Prodotto

Versione aggiornata

Piattaforma

Livello di priorità

Disponibilità

ColdFusion 2018

Aggiornamento 16

Tutte

1

ColdFusion 2021

Aggiornamento 6 

Tutte

1

Nota:

Adobe consiglia di aggiornare ColdFusion JDK/JRE all'ultima versione di LTS per JDK 11. L'applicazione dell'aggiornamento di ColdFusion senza un aggiornamento del JDK corrispondente NON garantirà la protezione del server.  Consultare le note tecniche necessarie per ulteriori informazioni. 

Adobe consiglia inoltre ai clienti di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.    

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Punteggio base CVSS 

Codici CVE

Deserializzazione di dati non affidabili (CWE-502)

Esecuzione di codice arbitrario

Critica

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-26359

Controllo di accesso non corretto (CWE-284)

Esecuzione di codice arbitrario

Critica

8.6

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

CVE-2023-26360

Limitazione non corretta di un percorso a una directory con restrizioni ("Path Traversal") (CWE-22)

Perdita di memoria

Importante

4.9

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2023-26361

Ringraziamenti

Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti

  • Patrick Vares (ELS-PHI) - CVE-2023-26359
  • Charlie Arehart e Pete Freitag - CVE-2023-26360
  • Dusan Stevanovic di Trend Micro - CVE-2023-26361

Requisiti JDK di ColdFusion

COLDFUSION 2021 (versione 2021.0.0.323925) e versioni successive

Per i server di applicazioni   

Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.   

Ad esempio:   

Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'

Server applicazioni WebLogic:  modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'

Server applicazioni WildFly/EAP:  modifica JAVA_OPTS nel file 'standalone.conf'

Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.   

 

COLDFUSION 2018 HF1 e versioni successive  

Per i server di applicazioni   

Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.   

Ad esempio:   

Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'

Server applicazioni WebLogic:  modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'

Server applicazioni WildFly/EAP:  modifica JAVA_OPTS nel file 'standalone.conf'

Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.   

 

Revisioni

14 marzo 2023: Impatto della vulnerabilità rivisto per CVE-2023-26360


Per ulteriori informazioni visita https://helpx.adobe.com/it/security.html o invia un'e-mail a PSIRT@adobe.com 

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online