ID bulletinu
Naposledy aktualizováno
2. 8. 2023
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe ColdFusion | APSB23-40
|
|
Datum zveřejnění |
Priorita |
|
APSB23-40 |
11. července 2023 |
1 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 2023, 2021 a 2018.Tyto aktualizace řeší kritické a důležité chyby zabezpečení, které by mohly vést ke svévolnému spuštění kódu a obcházení bezpečnostních funkcí.
Společnost Adobe si je vědoma toho, že chyba CVE-2023-29298 byla v omezené míře zneužita při útocích, které cílily na obchodníky s aplikací Adobe ColdFusion.
Postižené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2018 |
Aktualizace 16 a starší verze |
Vše |
|
ColdFusion 2021 |
Aktualizace 6 a starší verze |
Vše |
|
ColdFusion 2023 |
Vydání GA (2023.0.0.330468) |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2018 |
Aktualizace 17 |
Vše |
1 |
|
|
ColdFusion 2021 |
Aktualizace 7 |
Vše |
1 |
|
|
ColdFusion 2023 |
Aktualizace 1 |
Vše |
1 |
Poznámka:
Společnost Adobe doporučuje aktualizovat verzi ColdFusion JDK/JRE LTS na nejnovější verzi aktualizace. Zkontrolujte podporovanou verzi JDK v přehledu podpory k aplikaci ColdFusion.
Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ. Podrobnosti naleznete v technických poznámkách.
Společnost Adobe také zákazníkům doporučuje, aby použili nastavení konfigurace zabezpečení popsané na stránce Zabezpečení aplikace ColdFusion a dále si přečetli informace v příslušné příručce týkající se uzamčení.
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Čísla CVE |
|
|
Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Kritická |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserializace nedůvěryhodných dat (CWE-502) |
Svévolné spuštění kódu |
Kritická |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Nesprávné omezení nadměrného počtu pokusů o ověření (CWE-307) |
Obcházení bezpečnostních funkcí |
Důležitá |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a subjektům:
- Stephen Fewer – CVE-2023-29298
- Nicolas Zilio (CrowdStrike) – CVE-2023-29300
- Brian Reilly – CVE-2023-29301
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Požadavky prostředí ColdFusion JDK
COLDFUSION 2023 (verze 2023.0.0.330468) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Aplikační server Apache Tomcat: upravte JAVA_OPTS v souboru Catalina.bat/sh
Aplikační server WebLogic: upravte JAVA_OPTIONS v souboru startWeblogic.cmd
Aplikační server WildFly/EAP: upravte JAVA_OPTS v souboru standalone.conf
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.
COLDFUSION 2021 (Verze 2021.0.0.323925) a vyšší
Pro aplikační servery
Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
COLDFUSION 2018 HF1 a vyšší
Pro aplikační servery
Kromě toho je nutné u instalací JEE nastavit příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**" v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
Revize
19. července 2023
- Odstavec shrnutí byl aktualizován takto: Společnost Adobe si je vědoma toho, že chyba CVE-2023-29298 byla v omezené míře zneužita při útocích, které cílily na obchodníky s aplikací Adobe ColdFusion.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com
