Adobe sikkerhedsbulletin

Søg

Sikkerhedsopdateringer til Adobe ColdFusion | APSB23-52

Bulletin-ID

Udgivelsesdato

Prioritet

APSB23-52

Den 14. november 2023

3

Resumé

Adobe har frigivet sikkerhedsopdateringer til ColdFusion version 2023, og 2021. Disse opdateringer løser kritiskevigtige og moderate sikkerhedsproblemer, der kan føre til kodeeksekvering og omgåelse af sikkerhedsfunktioner.

Berørte versioner

Produkt

Opdateringsnummer

Platform

ColdFusion 2023

Opdatering 5 og tidligere versioner
  

Alle

ColdFusion 2021

Opdatering 11 og tidligere versioner

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner:

Produkt

Opdateret version

Platform

Prioritetsgrad

Tilgængelighed

ColdFusion 2023

Opdatering 6

Alle

3

Teknisk note

ColdFusion 2021

Opdatering 12

Alle

3

Teknisk note
Bemærk:

For flere detaljer om beskyttelse mod usikre Wddx-deserialiseringsangreb, se  https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVSS-basisscore 

CVSS-vektor

CVE-numre

Deserialisering af data, der ikke er tillid til (CWE-502)

Vilkårlig kodekørsel

Kritisk

9.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2023-44350

Ukorrekt adgangskontrol (CWE-284)

Sikkerhedsomgåelse

Kritisk

7.5

 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2023-26347

Deserialisering af data, der ikke er tillid til (CWE-502)

Vilkårlig kodekørsel

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-44351

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtig

6.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVE-2023-44352

Deserialisering af data, der ikke er tillid til (CWE-502)

Vilkårlig kodekørsel

Vigtigt

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2023-44353

Ukorrekt input-validering (CWE-20)

Vilkårlig kodekørsel

Moderat

4.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CVE-2023-44355

Tak til følgende personer:

Adobe vil gerne takke følgende researchere for at rapportere dette sikkerhedsproblem og for at samarbejde med Adobe for at beskytte vores leverandører:   

  • Brian Reilly - CVE-2023-44350, CVE-2023-44355
  • Daniel Jensen - CVE-2023-44351
  • pwnii (pwnwithlove) - CVE-2023-44352
  • McCaulay Hudson - CVE-2023-44353
  • Matthew Galligan og Jon Cagan, CISA - CVE-2023-26347

BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.

Bemærk:

Adobe anbefaler, at du opdaterer din ColdFusion JDK/JRE LTS-version til den seneste opdateringsudgave. Kontrollér ColdFusion-supportmatrixen nedenfor for din understøttede JDK-version.

ColdFusion-supportmatrix:

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

Implementering af ColdFusion-opdateringen uden en tilsvarende JDK-opdatering vil IKKE sikre serveren.  Yderligere oplysninger findes i de relevante tekniske noter.

Adobe anbefaler også, at kunderne anvender de sikkerhedskonfigurationsindstillinger, der er angivet på ColdFusion-sikkerhedssiden, samt at de gennemlæser de relevante Nedlukningsvejledninger. 

ColdFusion JDK-krav

COLDFUSION 2023 (version 2023.0.0.330468) og nyere
til applikationsservere

Brug følgende JVM-flag ved JEE-installationer, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" i den respektive startfil afhængigt af den anvendte type applikationsserver.

Eksempel:
Apache Tomcat-applikationsserver: Rediger JAVA_OPTS i filen "Catalina.bat/sh"
WebLogic-applikationsserver: Rediger JAVA_OPTIONS i filen "startWeblogic.cmd"
WildFly/EAP-applikationsserver: Rediger JAVA_OPTS i filen "standalone.conf"
JVM-flag skal kun anvendes ved en JEE-installation af ColdFusion, ikke ved en enkeltstående installation.

 

COLDFUSION 2021 (version 2021.0.0.323925) og nyere

For applikationsservere   

Følgende JVM-flag skal hejses på JEE-installationer: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

i den respektive startfil afhængigt af den anvendte type applikationsserver.

Eksempel:   

På en Apache Tomcat-applikationsserver: redigér JAVA_OPTS i filen ‘Catalina.bat/sh’

På en WebLogic-applikationsserver: redigér JAVA_OPTIONS i filen ‘startWeblogic.cmd’

På en WildFly/EAP-applikationsserver: redigér JAVA_OPTS i filen ‘standalone.conf’

Hejs JVM-flagene på en JEE-installation af ColdFusion, ikke på en enkeltstående installation. 

Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com 

Få hjælp hurtigere og nemmere

Ny bruger?

Hurtige links

Se alle dine planer Administrer dine planer
Se hurtige links
Skjul hurtige links

Juridiske meddelelser    |    Online persondatapolitik