ID bulletinu
Naposledy aktualizováno
19. 5. 2022
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe ColdFusion | APSB22-22
|
|
Datum zveřejnění |
Priorita |
|
APSB22-22 |
10. května 2022 |
3 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 2021, a 2018. Tyto aktualizace řeší důležité chyby zabezpečení, které by mohly vést ke svévolnému spuštění kódu.
Postižené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2018 |
Aktualizace 13 a starší verze |
Vše |
|
ColdFusion 2021 |
Verze 3 a starší |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2018 |
Aktualizace 14 |
Vše |
3 |
|
|
ColdFusion 2021 |
Aktualizace 4 |
Vše |
3 |
Poznámka:
Společnost Adobe doporučuje aktualizovat software ColdFusion JDK/JRE na nejnovější verzi vydání LTS pro 1.8 a JDK 11. Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ. Podrobnosti naleznete v příslušných technických poznámkách.
Společnost Adobe také zákazníkům doporučuje, aby použili nastavení konfigurace zabezpečení popsané na stránce Zabezpečení aplikace ColdFusion a dále si přečetli informace v příslušné příručce týkající se uzamčení.
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Čísla CVE |
|
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-28818 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:
- UB3RSiCK (ub3rsick) – CVE-2022-28818
Požadavky prostředí ColdFusion JDK
COLDFUSION 2021 (Verze 2021.0.0.323925) a vyšší
Pro aplikační servery
Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Příklad:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
COLDFUSION 2018 HF1 a vyšší
Pro aplikační servery
Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Příklad:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com
