Bulletin-ID
Sidst opdateret den
2. aug. 2023
Sikkerhedsopdateringer til Adobe ColdFusion | APSB23-40
|
|
Udgivelsesdato |
Prioritet |
|
APSB23-40 |
11. juli 2023 |
1 |
Resumé
Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2023, 2021 og 2018. Disse opdateringer løser kritiske og vigtige sikkerhedsproblemer, der kan føre til kodeeksekvering og omgåelse af sikkerhedsfunktioner.
Adobe er klar over, at CVE-2023-29298 er blevet udnyttet i et begrænset antal angreb rettet mod brugere af Adobe ColdFusion.
Berørte versioner
|
Produkt |
Opdateringsnummer |
Platform |
|
ColdFusion 2018 |
Opdatering 16 og tidligere versioner |
Alle |
|
ColdFusion 2021 |
Opdatering 6 og tidligere versioner |
Alle |
|
ColdFusion 2023 |
GA-version (2023.0.0.330468) |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
|
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Tilgængelighed |
|---|---|---|---|---|
|
ColdFusion 2018 |
Opdatering 17 |
Alle |
1 |
|
|
ColdFusion 2021 |
Opdatering 7 |
Alle |
1 |
|
|
ColdFusion 2023 |
Opdatering 1 |
Alle |
1 |
Bemærk:
Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE LTS-version til den seneste opdateringsudgave. Tjek ColdFusions supportmatrix for din understøttede JDK-version
Hvis du anvender ColdFusion-opdateringen uden en tilsvarende JDK-opdatering, vil det IKKE sikre serveren. Yderligere oplysninger findes i de relevante tekniske noter.
Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-numre |
|
|
Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Kritisk |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserialisering af data, der ikke er tillid til (CWE-502) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Ukorrekt begrænsning af for mange godkendelsesforsøg (CWE-307) |
Sikkerhedsomgåelse |
Vigtigt |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere relevante problemer og for at samarbejde med Adobe for at beskytte vores leverandører:
- Stephen Fewer – CVE-2023-29298
- Nicolas Zilio (CrowdStrike) – CVE-2023-29300
- Brian Reilly – CVE-2023-29301
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
ColdFusion JDK-krav
COLDFUSION 2023 (version 2023.0.0.330468) og nyere
til applikationsservere
Brug følgende JVM-flag ved JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.
COLDFUSION 2021 (version 2021.0.0.323925) og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
COLDFUSION 2018 HF1 og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Revisioner
19. juli 2023
- Adobe er klar over, at CVE-2023-29298 er blevet udnyttet i begrænsede angreb rettet mod brugere af Adobe ColdFusion.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com
