Bulletin-ID
Sidst opdateret den
2. aug. 2023
Sikkerhedsopdateringer til Adobe ColdFusion | APSB23-41
|
|
Udgivelsesdato |
Prioritet |
|
APSB23-41 |
14. juli 2023 |
1 |
Resumé
Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2023, 2021 og 2018. Disse opdateringer løser et kritisk sikkerhedsproblem, som kan medføre vilkårlig kodekørsel.
Adobe er klar over, at der er blevet postet en proof of concept-blog for CVE-2023-38203.
Berørte versioner
|
Produkt |
Opdateringsnummer |
Platform |
|
ColdFusion 2018 |
Opdatering 17 og tidligere versioner |
Alle |
|
ColdFusion 2021 |
Opdatering 7 og tidligere versioner |
Alle |
|
ColdFusion 2023 |
Opdatering 1 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
|
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Tilgængelighed |
|---|---|---|---|---|
|
ColdFusion 2018 |
Opdatering 18 |
Alle |
1 |
|
|
ColdFusion 2021 |
Opdatering 8 |
Alle |
1 |
|
|
ColdFusion 2023 |
Opdatering 2 |
Alle |
1 |
Bemærk:
Hvis du bliver opmærksom på en pakke med et sikkerhedsproblem med deserialisering i fremtiden, skal du bruge filen serialfilter.txt i <cfhome>/lib for at opføre pakken på blokeringsliste (f.eks.: !org.jroup.**;)
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-numre |
|
|
Deserialisering af data, der ikke er tillid til (CWE-502) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-38203 |
Tak til følgende personer:
Adobe vil gerne takke følgende researcher for at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores leverandører:
- Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research - CVE-2023-38203
- MoonBack (ipplus360) - CVE-2023-38203
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Tak til følgende personer
Adobe vil gerne takke følgende researcher for at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores:
- Yonghui Han fra Fortinet’s FortiGuard Labs – CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Bemærk:
Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE LTS-version til den seneste opdateringsudgave. Kontrollér ColdFusion-supportmatrixen nedenfor for din understøttede JDK-version.
ColdFusion-supportmatrix:
CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren. Yderligere oplysninger findes i de relevante tekniske noter.
Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger.
ColdFusion JDK-krav
COLDFUSION 2023 (version 2023.0.0.330468) og nyere
til applikationsservere
Brug følgende JVM-flag ved JEE-installationer, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.
COLDFUSION 2021 (version 2021.0.0.323925) og nyere
For applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
COLDFUSION 2018 HF1 og nyere
Til applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com
