Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe ColdFusion | APSB22-22

Bulletin-ID

Udgivelsesdato

Prioritet

APSB22-22

05/10/2022

3

Resumé

Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2021 og  2018. Disse opdateringer løser en Vigtig  sårbarhed, som kunne føre til udførelse af vilkårlig kode.
   

Berørte versioner

Produkt

Opdateringsnummer

Platform

ColdFusion 2018

Opdatering 13 og tidligere versioner    

Alle

ColdFusion 2021

Version 3 og tidligere versioner

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt

Opdateret version

Platform

Prioritetsgrad

Tilgængelighed

ColdFusion 2018

Opdatering 14

Alle

3

ColdFusion 2021

Opdatering 4

Alle

3

Bemærk:

Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE til den seneste version af LTS til 1.8 og JDK 11. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren.  Se de de relevante tekniske noter for yderligere oplysninger. 

Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger. 

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVSS-basisscore 

CVE-numre

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtig 

5.4

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2022-28818

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere relevante problemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • UB3RSiCK (ub3rsick) - CVE-2022-28818

ColdFusion JDK-krav

COLDFUSION 2021 (version 2021.0.0.323925) og nyere

Til applikationsservere   

Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes. 

Eksempel:   

På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’

Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation. 

 

COLDFUSION 2018 HF1 og nyere  

Til applikationsservere   

Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes. 

Eksempel:   

På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’

Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation. 

 


Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com 

Adobe-logo

Log ind på din konto