Bezpečnostní bulletin společnosti Adobe

Hledat

Naposledy aktualizováno 28. 3. 2023

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe ColdFusion | APSB23-25

ID bulletinu	Datum zveřejnění	Priorita
APSB23-25	14. března 2023	1

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 2021 a 2018. Tyto aktualizace řeší kritické a důležité  chyby zabezpečení, které by mohly vést ke svévolnému spuštění kódu a úniku paměti.

Společnost Adobe si je vědoma toho, že chyba CVE-2023-26360 byla ve velmi omezené míře zneužita při útocích, které cílily na obchodníky s aplikací Adobe ColdFusion.

Postižené verze

Produkt	Číslo aktualizace	Platforma
ColdFusion 2018	Aktualizace 15 a starší verze	Vše
ColdFusion 2021	Aktualizace 5 a starší verze	Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:

Produkt	Aktualizovaná verze	Platforma	Úroveň priority	Dostupnost
ColdFusion 2018	Aktualizace 16	Vše	1	Technická poznámka
ColdFusion 2021	Aktualizace 6	Vše	1	Technická poznámka

Poznámka:

Společnost Adobe doporučuje aktualizovat software ColdFusion JDK/JRE na nejnovější verzi vydání LTS pro JDK 11. Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ. Podrobnosti naleznete v příslušných technických poznámkách.

Společnost Adobe také zákazníkům doporučuje, aby použili nastavení konfigurace zabezpečení popsané na stránce Zabezpečení aplikace ColdFusion a dále si přečetli informace v příslušné příručce týkající se uzamčení.   

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Základní hodnocení CVSS	Vektor CVSS	Čísla CVE
Deserializace nedůvěryhodných dat (CWE-502)	Svévolné spuštění kódu	Kritická	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2023-26359
Nesprávné řízení přístupu (CWE-284)	Svévolné spuštění kódu	Kritická	8.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N	CVE-2023-26360
Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22)	Únik paměti	Důležitá	4.9	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N	CVE-2023-26361

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:

Patrick Vares (ELS-PHI) – CVE-2023-26359
Charlie Arehart a Pete Freitag – CVE-2023-26360
Dusan Stevanovic ze společnosti Trend Micro – CVE-2023-26361

Požadavky prostředí ColdFusion JDK

COLDFUSION 2021 (Verze 2021.0.0.323925) a vyšší

Pro aplikační servery  

Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru. 

Příklad:  

Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.

Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.

Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.

Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.  

COLDFUSION 2018 HF1 a vyšší  

Pro aplikační servery  

Příklad:  

Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.

Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.

Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.

Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.  

Revize

14. března 2023: Dopad chyby zabezpečení revidovaný pro CVE-2023-26360

Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com

Získejte pomoc rychleji a snáze

Nový uživatel?