ID bulletinu
Naposledy aktualizováno
28. 11. 2023
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe ColdFusion | APSB23-52
|
|
Datum zveřejnění |
Priorita |
|
APSB23-52 |
14. listopadu 2023 |
3 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 2023 a 2021. Tyto aktualizace řeší kritické, důležité a středně závažné chyby zabezpečení, které by mohly vést ke svévolnému spuštění kódu a obcházení bezpečnostních funkcí.
Postižené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2023 |
Aktualizace 5 a starší verze |
Vše |
|
ColdFusion 2021 |
Aktualizace 11 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2023 |
Aktualizace 6 |
Vše |
3 |
|
|
ColdFusion 2021 |
Aktualizace 12 |
Vše |
3 |
Poznámka:
Další podrobnosti o ochraně proti útokům využívajícím nezabezpečenou deserializaci Wddx najdete na stránce https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Čísla CVE |
|
|
Deserializace nedůvěryhodných dat (CWE-502) |
Svévolné spuštění kódu |
Kritická |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2023-44350 |
|
Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Kritická |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26347 |
|
Deserializace nedůvěryhodných dat (CWE-502) |
Svévolné spuštění kódu |
Kritická |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-44351 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-44352 |
|
Deserializace nedůvěryhodných dat (CWE-502) |
Svévolné spuštění kódu |
Důležitá |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-44353 |
|
Nesprávné ověření vstupu (CWE-20) |
Svévolné spuštění kódu |
Střední |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-44355 |
Poděkování:
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Brian Reilly – CVE-2023-44350, CVE-2023-44355
- Daniel Jensen – CVE-2023-44351
- pwnii (pwnwithlove) – CVE-2023-44352
- McCaulay Hudson – CVE-2023-44353
- Matthew Galligan a Jon Cagan, CISA – CVE-2023-26347
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Poznámka:
Společnost Adobe doporučuje aktualizovat verzi ColdFusion JDK/JRE LTS na nejnovější verzi aktualizace. Zkontrolujte podporovanou verzi JDK v níže uvedeném přehledu podpory k aplikaci ColdFusion.
Přehled podpory k aplikaci ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ. Podrobnosti naleznete v technických poznámkách.
Společnost Adobe také zákazníkům doporučuje, aby použili nastavení konfigurace zabezpečení popsané na stránce Zabezpečení aplikace ColdFusion a dále si přečetli informace v příslušné příručce týkající se uzamčení.
Požadavky prostředí ColdFusion JDK
COLDFUSION 2023 (verze 2023.0.0.330468) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**“ v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Aplikační server Apache Tomcat: upravte JAVA_OPTS v souboru „Catalina.bat/sh“
Aplikační server WebLogic: upravte JAVA_OPTIONS v souboru „startWeblogic.cmd“
Aplikační server WildFly/EAP: upravte JAVA_OPTS v souboru „standalone.conf“
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.
COLDFUSION 2021 (verze 2021.0.0.323925) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**“
v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com
