Adoben tietoturvatiedote

Adobe ColdFusionin tietoturvapäivitykset | APSB22-22

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB22-22

10. toukokuuta 2022

3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2021 ja 2018. Nämä päivitykset ratkaisevat tärkeän  haavoittuvuuden, joka voi johtaa mielivaltaiseen koodin suoritukseen.
   

Versiot

Tuote

Päivityksen numero

Ympäristö

ColdFusion 2018

Päivitys 13 ja aiemmat versiot    

Kaikki

ColdFusion 2021

Versio 3 ja aiemmat versiot

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Päivitetty versio

Ympäristö

Prioriteettiluokitus

Saatavuus

ColdFusion 2018

Päivitys 14

Kaikki

3

ColdFusion 2021

Päivitys 4

Kaikki

3

Huomautus:

Adobe suosittelee ColdFusion JDK/JRE:n päivittämistä 1.8:n ja JDK 11:n LTS-julkaisujen uusimpaan versioon. ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta.  Katso lisätietoja asiaankuuluvista Technote-tiedotteista. 

Adobe suosittelee myös, että kaikki asiakkaat ottavat käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin. 

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVSS-peruspisteet 

CVE-numerot

Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä 

5.4

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2022-28818

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa:

  • UB3RSiCK (ub3rsick) – CVE-2022-28818

ColdFusion JDK -vaatimus

COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat

Sovelluspalvelimia varten   

JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”. 

Esimerkiksi:   

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.   

 

COLDFUSION 2018 HF1 ja uudemmat  

Sovelluspalvelimia varten   

JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”. 

Esimerkiksi:   

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.   

 


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com 

Adobe-logo

Kirjaudu sisään tiliisi