Tiedotteen tunnus
Päivitetty viimeksi
28. maaliskuuta 2023
Adobe ColdFusionin tietoturvapäivitykset | APSB23-25
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB23-25 |
14. maaliskuuta 2023 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2021 ja 2018. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia, jotka voivat johtaa mielivaltaisen koodin suorittamiseen ja muistivuotoon.
Adobe on tietoinen siitä, että haavoittuvuutta CVE-2023-26360 on hyödynnetty hyvin rajoitetuissa hyökkäyksissä, jotka kohdistuvat Adobe ColdFusion -kauppiaisiin.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2018 |
Päivitys 15 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2021 |
Päivitys 5 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2018 |
Päivitys 16 |
Kaikki |
1 |
|
|
ColdFusion 2021 |
Päivitys 6 |
Kaikki |
1 |
Huomautus:
Adobe suosittelee ColdFusion JDK/JRE:n päivittämistä ja JDK 11:n LTS-julkaisujen uusimpaan versioon. ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta. Katso lisätietoja asiaankuuluvista Technote-tiedotteista.
Adobe suosittelee myös, että kaikki asiakkaat ottavat käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numerot |
|
|
Ei-luotettavien tietojen sarjoituksen purkaminen (CWE-502) |
Mielivaltaisen koodin suoritus |
Kriittinen |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-26359 |
|
Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Mielivaltaisen koodin suoritus |
Kriittinen |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26360 |
|
Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) |
Muistivuoto |
Tärkeä |
4.9 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26361 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa:
- Patrick Vares (ELS-PHI) – CVE-2023-26359
- Charlie Arehart ja Pete Freitag – CVE-2023-26360
- Dusan Stevanovic Trend Microsta – CVE-2023-26361
ColdFusion JDK -vaatimus
COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
COLDFUSION 2018 HF1 ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
Versiot
14. maaliskuuta 2023: Haavoittuvuuden CVE-2023-26360 vaikutusta päivitetty
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
