Tiedotteen tunnus
Päivitetty viimeksi
2. elokuuta 2023
Adobe ColdFusionin tietoturvapäivitykset | APSB23-40
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB23-40 |
11. heinäkuuta 2023 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2023, 2021 ja 2018. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia, jotka voivat johtaa mielivaltaisen koodin suorittamiseen ja tietoturvaominaisuuksien ohitukseen.
Adobe on tietoinen siitä, että haavoittuvuutta CVE-2023-29298 on hyödynnetty rajoitetuissa hyökkäyksissä, jotka kohdistuvat Adobe ColdFusioniin.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2018 |
Päivitys 16 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2021 |
Päivitys 6 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2023 |
GA-versio (2023.0.0.330468) |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2018 |
Päivitys 17 |
Kaikki |
1 |
|
|
ColdFusion 2021 |
Päivitys 7 |
Kaikki |
1 |
|
|
ColdFusion 2023 |
Päivitys 1 |
Kaikki |
1 |
Huomautus:
Adobe suosittelee ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. Tarkista ColdFusion-tuen taulukosta tuettu JDK-versio
ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta. Katso lisätietoja asiaankuuluvista Technote-tiedotteista.
Adobe suosittelee myös, että kaikki asiakkaat ottavat käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numerot |
|
|
Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Tietoturvaominaisuuden ohitus |
Kriittinen |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Ei-luotettavien tietojen sarjoituksen purkaminen (CWE-502) |
Mielivaltaisen koodin suoritus |
Kriittinen |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Liian monien todennusyritysten virheellinen rajoittaminen (CWE-307) |
Tietoturvaominaisuuden ohitus |
Tärkeä |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa:
- Stephen Fewer – CVE-2023-29298
- Nicolas Zilio (CrowdStrike) – CVE-2023-29300
- Brian Reilly – CVE-2023-29301
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
ColdFusion JDK -vaatimus
COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
COLDFUSION 2018 HF1 ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa vastaavaan käynnistystiedostoon pitää määrittää käytettävän sovelluspalvelimen tyypistä riippuen seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
Versiot
19. heinäkuuta 2023
- Yhteenvetokappale päivitetty tiedolla, että Adobe on tietoinen siitä, että haavoittuvuutta CVE-2023-29298 on hyödynnetty rajoitetuissa hyökkäyksissä, jotka kohdistuvat Adobe ColdFusioniin.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
