ID bulletinu
Naposledy aktualizováno
27. 6. 2024
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe ColdFusion | APSB24-41
|
|
Datum zveřejnění |
Priorita |
|
APSB24-41 |
11. června 2024 |
3 |
Shrnutí
Společnost Adobe vydala aktualizace zabezpečení pro aplikaci ColdFusion verze 2023 a 2021. Tyto aktualizace řeší důležité chyby zabezpečení, které by mohly způsobit nahodilé čtení souborového systému a obcházení bezpečnostních funkcí.
Postižené verze
|
Produkt |
Číslo aktualizace |
Platforma |
|
ColdFusion 2023 |
Aktualizace 7 a starší verze |
Vše |
|
ColdFusion 2021 |
Aktualizace 13 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkty na nejnovější verze:
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Dostupnost |
|---|---|---|---|---|
|
ColdFusion 2023 |
Aktualizace 8 |
Vše |
3 |
|
|
ColdFusion 2021 |
Aktualizace 14 |
Vše |
3 |
Poznámka:
Další podrobnosti o ochraně proti útokům využívajícím nezabezpečenou deserializaci Wddx najdete na stránce https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html.
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Čísla CVE |
|
|
Nesprávné řízení přístupu (CWE-284) |
Nahodilé čtení souborového systému |
Důležitá |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-34112 |
|
Slabé šifrování pro hesla (CWE-261) |
Obcházení bezpečnostních funkcí |
Důležitá |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-34113 |
Poděkování:
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Brian (reillyb) – CVE-2024-34112
- Ian Hickey (ionatomic) – CVE-2024-34113
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Poznámka:
Společnost Adobe doporučuje z bezpečnostních důvodů aktualizovat verzi aplikace ColdFusion JDK/JRE LTS na nejnovější verzi aktualizace. Stránky ke stažení aplikace ColdFusion se pravidelně aktualizují tak, aby obsahovaly nejnovější instalační programy Javy pro verzi JDK, kterou vaše instalace podporuje, a to podle níže uvedených přehledů podpory.
Pokud si chcete projít pokyny, jak používat externí verzi JDK, projděte si článek věnovaný změně příznaku JVM aplikace ColdFusion.
Společnost Adobe také doporučuje použít nastavení konfigurace zabezpečení zahrnuté v dokumentaci Zabezpečení aplikace ColdFusion a přečíst si informace v příslušné příručce týkající se uzamčení.
Požadavky prostředí ColdFusion JDK
COLDFUSION 2023 (verze 2023.0.0.330468) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**“ v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Aplikační server Apache Tomcat: upravte JAVA_OPTS v souboru „Catalina.bat/sh“
Aplikační server WebLogic: upravte JAVA_OPTIONS v souboru „startWeblogic.cmd“
Aplikační server WildFly/EAP: upravte JAVA_OPTS v souboru „standalone.conf“
Nastavte příznaky JVM v instalaci JEE aplikace ColdFusion, nikoli v samostatné instalaci.
COLDFUSION 2021 (verze 2021.0.0.323925) a vyšší
Pro aplikační servery
U instalací JEE nastavte příznak JVM na hodnotu „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**“
v příslušném spouštěcím souboru v závislosti na typu používaného aplikačního serveru.
Například:
Na aplikačním serveru Apache Tomcat: Upravte parametr JAVA_OPTS v souboru „Catalina.bat/sh“.
Na aplikačním serveru WebLogic: Upravte parametr JAVA_OPTIONS v souboru „startWeblogic.cmd“.
Na aplikačním serveru WildFly/EAP: Upravte parametr JAVA_OPTS v souboru „standalone.conf“.
Příznaky JVM nastavujte u instalace JEE aplikace ColdFusion, nikoliv u samostatné instalace.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adrese PSIRT@adobe.com
