Bulletin-ID
Sidst opdateret den
2. aug. 2023
Sikkerhedsopdateringer til Adobe ColdFusion | APSB23-47
|
|
Udgivelsesdato |
Prioritet |
|
APSB23-47 |
19. juli 2023 |
1 |
Resumé
Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2023, 2021 og 2018. Disse opdateringer løser kritiske og moderate sikkerhedsproblemer, der kan føre til kodeeksekvering og omgåelse af sikkerhedsfunktioner
Adobe er klar over, at CVE-2023-38205 er blevet udnyttet i begrænsede antal angreb rettet mod brugere af Adobe ColdFusion.
Berørte versioner
|
Produkt |
Opdateringsnummer |
Platform |
|
ColdFusion 2023 |
Opdatering 2 og tidligere versioner |
Alle |
|
ColdFusion 2021 |
Opdatering 8 og tidligere versioner |
Alle |
|
ColdFusion 2018 |
Opdatering 18 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:
|
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Tilgængelighed |
|---|---|---|---|---|
|
ColdFusion 2023 |
Opdatering 3 |
Alle |
1 |
|
|
ColdFusion 2021 |
Opdatering 9 |
Alle |
1 |
|
|
ColdFusion 2018 |
Opdatering 19 |
Alle |
1 |
Bemærk:
Hvis du bliver opmærksom på en pakke med et sikkerhedsproblem med deserialisering i fremtiden, skal du bruge filen serialfilter.txt i <cfhome>/lib for at opføre pakken på blokeringsliste (f.eks.: !org.jgroups.**;)
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-numre |
|
|
Deserialisering af data, der ikke er tillid til (CWE-502) |
Vilkårlig kodekørsel |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-38204 |
|
Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Kritisk |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38205 |
|
Ukorrekt adgangskontrol (CWE-284) |
Sikkerhedsomgåelse |
Moderat |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38206 |
Tak til følgende personer:
Adobe vil gerne takke følgende researchere for at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores leverandører:
- Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research - CVE-2023-38204
- MoonBack (ipplus360) - CVE-2023-38204
- Stephen Fewer – CVE-2023-38205
- Brian Reilly – CVE-2023-38206
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Tak til følgende personer
Adobe vil gerne takke følgende researcher for at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores:
- Yonghui Han fra Fortinet’s FortiGuard Labs – CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Bemærk:
Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE LTS-version til den seneste opdateringsudgave. Kontrollér ColdFusion-supportmatrixen nedenfor for din understøttede JDK-version.
ColdFusion-supportmatrix:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf
Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren. Yderligere oplysninger findes i de relevante tekniske noter.
Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger.
ColdFusion JDK-krav
COLDFUSION 2023 (version 2023.0.0.330468) og nyere
til applikationsservere
Brug følgende JVM-flag ved JEE-installationer, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.
COLDFUSION 2021 (version 2021.0.0.323925) og nyere
For applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
COLDFUSION 2018 HF1 og nyere
For applikationsservere
Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i den respektive startfil afhængigt af den anvendte type applikationsserver.
Eksempel:
På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’
På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’
På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’
Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com
