ID bulletinu
Naposledy aktualizováno
9. 1. 2025
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe ColdFusion | APSB24-14
|
|
Datum zveřejnění |
Priorita |
|
APSB24-14 |
12. března 2024 |
1 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 2023 a 2021. Tyto aktualizace řeší kritické chyby zabezpečení, které by mohly způsobit nahodilé čtení souborového systému a zvýšení oprávnění.
Společnost Adobe si je vědoma toho, že chyba zabezpečení CVE-2024-20767 má prokázaný koncept, který může způsobit nahodilé čtení souborového systému.
Postižené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2023 |
Aktualizace 6 a starší verze |
Vše |
|
ColdFusion 2021 |
Aktualizace 12 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2023 |
Aktualizace 12 |
Vše |
1 |
|
|
ColdFusion 2021 |
Aktualizace 18 |
Vše |
1 |
Poznámka:
Další podrobnosti o ochraně proti útokům využívajícím nezabezpečenou deserializaci Wddx najdete na stránce https://helpx.adobe.com/cz/coldfusion/kb/coldfusion-serialfilter-file.html.
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Čísla CVE |
Poznámky |
|
|
Nesprávné řízení přístupu (CWE-284) |
Nahodilé čtení souborového systému |
Kritická |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Tato zranitelnost byla dále řešena v aktualizaci 12 aplikace ColdFusion 2023 a aktualizaci 18 aplikace ColdFusion 2021. Další informace najdete v části věnované bulletinu APSB24-107. |
|
Nesprávné ověření (CWE-287) |
Zvyšování oprávnění |
Kritická |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Tento problém byl řešen v aktualizaci 7 aplikace ColdFusion 2023 a aktualizaci 13 a novějších aktualizacích aplikace ColdFusion 2021. |
Poděkování:
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- ma4ter – CVE-2024-20767
- Brian Reilly (reillyb) – CVE-2024-45113
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Poznámka:
Společnost Adobe doporučuje aktualizovat verzi ColdFusion JDK/JRE LTS na nejnovější verzi aktualizace. Zkontrolujte podporovanou verzi JDK v níže uvedeném přehledu podpory k aplikaci ColdFusion.
Přehled podpory k aplikaci ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Instalace aktualizace aplikace ColdFusion bez instalace příslušné aktualizace prostředí JDK k zabezpečení serveru NESTAČÍ. Podrobnosti naleznete v technických poznámkách.
Společnost Adobe také zákazníkům doporučuje, aby použili nastavení konfigurace zabezpečení popsané na stránce Zabezpečení aplikace ColdFusion a dále si přečetli informace v příslušné příručce týkající se uzamčení.
Požadavky prostředí ColdFusion JDK
COLDFUSION 2023 (verze 2023.0.0.330468) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**“ v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Aplikační server Apache Tomcat: upravte JAVA_OPTS v souboru „Catalina.bat/sh“
Aplikační server WebLogic: upravte JAVA_OPTIONS v souboru „startWeblogic.cmd“
Aplikační server WildFly/EAP: upravte JAVA_OPTS v souboru „standalone.conf“
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.
COLDFUSION 2021 (verze 2021.0.0.323925) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**“
v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
Revize
23. prosince 2024 – Aktualizováno: Souhrn, řešení od aktualizace 7 aplikace ColdFusion 2023 po aktualizaci 12 aplikace ColdFusion 2023, od aktualizace 13 aplikace ColdFusion 2021 po aktualizaci 18 aplikace ColdFusion 2021, snížení priority ze 3 na 1 a přidání sloupce Poznámky do tabulky Podrobnosti o chybě zabezpečení.
10. září 2024: Přidání CVE-2024-45113
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com
