Bulletin-ID
Sikkerhedsopdateringer til Adobe ColdFusion | APSB22-44
|
Udgivelsesdato |
Prioritet |
APSB22-44 |
11. oktober 2022 |
3 |
Resumé
Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2021 og 2018. Denne opdatering løser kritiske, vigtige og moderate sikkerhedsproblemer, der kan resultere i eksekvering af skadelig kode, opnåelse af skriveadgang til filsystemet, omgåelse af sikkerhedsforanstaltninger og ændring af brugerrettigheder.
Berørte versioner
Produkt |
Opdateringsnummer |
Platform |
ColdFusion 2018 |
Opdatering 14 og tidligere versioner |
Alle |
ColdFusion 2021 |
Opdatering 4 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Tilgængelighed |
---|---|---|---|---|
ColdFusion 2018 |
Opdatering 15 |
Alle |
3 |
|
ColdFusion 2021 |
Opdatering 5 |
Alle |
3 |
Adobe anbefaler, at du opdaterer ColdFusion JDK/JRE til den nyeste version af LTS til JDK 11. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren. Se de de relevante tekniske noter for yderligere oplysninger.
Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger.
Sikkerhedsoplysninger
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-numre |
|
Stakbaseret bufferoverløb (CWE-121) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
Heap-baseret bufferoverløb (CWE-122) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
Stakbaseret bufferoverløb (CWE-121) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
Heap-baseret bufferoverløb (CWE-122) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) |
Vilkårlig kodekørsel |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611) |
Vilkårlig filsystem-læsning |
Vigtigt |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
Brug af hardkodede legitimationsoplysninger (CWE-798) |
Eskalering af rettigheder |
Vigtigt |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) |
Vilkårlig kodekørsel |
Vigtig |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
Afsløring af oplysninger (CWE-200) |
Sikkerhedsomgåelse |
Vigtigt |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) |
Sikkerhedsomgåelse |
Moderat |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) |
Vilkårlig filsystem-skrivning |
Kritisk |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
Vigtig |
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
Ukorrekt begrænsning af XXE (XML External Entity) (CWE-611) |
|
Vigtig
|
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere relevante problemer og for at samarbejde med Adobe for at beskytte vores kunder:
- rgod i samarbejde med Trend Micro Zero Day Initiative - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb – CVE-2022-42340, CVE-2022-42341
ColdFusion JDK-krav
COLDFUSION 2021 (version 2021.0.0.323925) og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
COLDFUSION 2018 HF1 og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com