Bulletin-ID
Sidst opdateret den
28. mar. 2023
Sikkerhedsopdateringer til Adobe ColdFusion | APSB23-25
|
|
Udgivelsesdato |
Prioritet |
|
APSB23-25 |
14. marts 2023 |
1 |
Resumé
Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2021 og 2018. Disse opdateringer løser en række kritiske og vigtige sikkerhedsproblemer, der kan medføre vilkårlig kodekørsel og hukommelseslæk.
Adobe er klar over, at CVE-2023-26360 er blevet udnyttet et begrænset antal angreb rettet mod brugere af Adobe ColdFusion.
Berørte versioner
|
Produkt |
Opdateringsnummer |
Platform |
|
ColdFusion 2018 |
Opdatering 15 og tidligere versioner |
Alle |
|
ColdFusion 2021 |
Opdatering 5 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
|
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Tilgængelighed |
|---|---|---|---|---|
|
ColdFusion 2018 |
Opdatering 16 |
Alle |
1 |
|
|
ColdFusion 2021 |
Opdatering 6 |
Alle |
1 |
Bemærk:
Adobe anbefaler, at du opdaterer ColdFusion JDK/JRE til den nyeste version af LTS til JDK 11. Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren. Se de de relevante tekniske noter for yderligere oplysninger.
Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-numre |
|
|
Deserialisering af data, der ikke er tillid til (CWE-502) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-26359 |
|
Ukorrekt adgangskontrol (CWE-284) |
Vilkårlig kodekørsel |
Kritisk |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26360 |
|
Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) |
Ødelæggelse af hukommelsen |
Vigtigt |
4.9 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26361 |
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere relevante problemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Patrick Vares (ELS-PHI) - CVE-2023-26359
- Charlie Arehart og Pete Freitag - CVE-2023-26360
- Dusan Stevanovic fra Trend Micro - CVE-2023-26361
ColdFusion JDK-krav
COLDFUSION 2021 (version 2021.0.0.323925) og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
COLDFUSION 2018 HF1 og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i den respektive startfil afhængigt af den applikationsservertype, der anvendes.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Revisioner
14. marts 2023: Sårbarhedseffekt revideret for CVE-2023-26360
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com
