Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe ColdFusion | APSB22-44

Bulletin-ID

Udgivelsesdato

Prioritet

APSB22-44

11. oktober 2022

3

Resumé

Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2021 og  2018. Denne opdatering løser kritiskevigtige og moderate  sikkerhedsproblemer, der kan resultere i eksekvering af skadelig kode, opnåelse af skriveadgang til filsystemet, omgåelse af sikkerhedsforanstaltninger og ændring af brugerrettigheder.



   

Berørte versioner

Produkt

Opdateringsnummer

Platform

ColdFusion 2018

Opdatering 14 og tidligere versioner    

Alle

ColdFusion 2021

Opdatering 4 og tidligere versioner

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt

Opdateret version

Platform

Prioritetsgrad

Tilgængelighed

ColdFusion 2018

Opdatering 15

Alle

3

ColdFusion 2021

Opdatering 5

Alle

3

Bemærk:

Adobe anbefaler, at du opdaterer ColdFusion JDK/JRE til den nyeste version af LTS til JDK 11. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren.  Se de de relevante tekniske noter for yderligere oplysninger. 

Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger. 

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVSS-basisscore 

CVE-numre

Stakbaseret bufferoverløb (CWE-121)

Vilkårlig kodekørsel

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35710

Heap-baseret bufferoverløb (CWE-122)

Vilkårlig kodekørsel

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35711

Stakbaseret bufferoverløb (CWE-121)

Vilkårlig kodekørsel

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35690

Heap-baseret bufferoverløb (CWE-122)

Vilkårlig kodekørsel

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35712

Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22)

Vilkårlig kodekørsel

Kritisk

8.1

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38418

Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611)

Vilkårlig filsystem-læsning

Vigtigt

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38419

Brug af hardkodede legitimationsoplysninger (CWE-798)

Eskalering af rettigheder

Vigtigt

6.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

CVE-2022-38420

Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22)

Vilkårlig kodekørsel

Vigtig

6.6

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38421

Afsløring af oplysninger (CWE-200)

Sikkerhedsomgåelse

Vigtigt

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2022-38422

Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22)

Sikkerhedsomgåelse

Moderat

4.4

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38423

Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22)

Vilkårlig filsystem-skrivning

Kritisk

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38424


Ukorrekt input-validering (CWE-20)


Vilkårlig filsystem-læsning

Vigtig

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42340

Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611)


Vilkårlig filsystem-læsning

Vigtig

 

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42341

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere relevante problemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • rgod i samarbejde med Trend Micro Zero Day Initiative - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
  • reillyb – CVE-2022-42340, CVE-2022-42341

ColdFusion JDK-krav

COLDFUSION 2021 (version 2021.0.0.323925) og nyere

Til applikationsservere   

Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes. 

Eksempel:   

På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’

Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation. 

 

COLDFUSION 2018 HF1 og nyere  

Til applikationsservere   

Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes. 

Eksempel:   

På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’

Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation. 

 


Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com 

 Adobe

Få hjælp hurtigere og nemmere

Ny bruger?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14-16. oktober i Miami Beach og online

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14-16. oktober i Miami Beach og online