Tiedotteen tunnus
Päivitetty viimeksi
9. tammikuuta 2025
Adobe ColdFusionin tietoturvapäivitykset | APSB24-14
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB24-14 |
12. maaliskuuta 2024 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2023 ja 2021. Nämä päivitykset ratkaisevat kriittisiä haavoittuvuuksia, jotka voivat johtaa mielivaltaiseen tiedostojärjestelmän lukuun ja käyttöoikeuksien laajennukseen.
Adobe on tietoinen siitä, että haavoittuvuudessa CVE-2024-20767 on tunnettu konseptitodistus, joka voi aiheuttaa mielivaltaista tiedostojärjestelmän lukua.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2023 |
Päivitys 6 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2021 |
Päivitys 12 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2023 |
Päivitys 12 |
Kaikki |
1 |
|
|
ColdFusion 2021 |
Päivitys 18 |
Kaikki |
1 |
Huomautus:
Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia Wddx-deserialisointihyökkäyksiä vastaan https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-serialfilter-file.html
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numerot |
Huomautukset |
|
|
Sopimaton käyttöoikeuksien valvonta (CWE-284) |
Mielivaltainen tiedostojärjestelmän luku |
Kriittinen |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Tämä haavoittuvuus on korjattu päivityksissä ColdFusion 2023 Update 12 ja ColdFusion 2021 Update 18. Lisätietoja: APSB24-107. |
|
Virheellinen todennus (CWE-287) |
Käyttöoikeuksien laajennus |
Kriittinen |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Tämä on korjattu päivityksissä ColdFusion 2023 Update 7 ja sitä uudemmissa versioissa sekä ColdFusion 2021 Update 13 ja sitä uudemmissa versioissa. |
Kiitokset:
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- ma4ter – CVE-2024-20767
- Brian Reilly (reillyb) – CVE-2024-45113
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Huomautus:
Adobe suosittelee ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. Tarkista alla olevasta ColdFusion-tuen taulukosta tuettu JDK-versio.
ColdFusion-tukitaulukko:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
ColdFusion-päivityksen käyttöönotto ilman vastaavaa JDK-päivitystä EI varmista palvelimen suojausta. Katso lisätietoja asiaankuuluvista Technote-tiedotteista.
Adobe suosittelee myös, että kaikki asiakkaat ottavat käyttöön ColdFusionin tietoturvasivulla esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
ColdFusion JDK -vaatimus
COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**”
vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
Versiot
23. joulukuuta 2024 – Päivitetty: yhteenveto, ratkaisu ColdFusion 2023 Update 7:stä ColdFusion 2023 Update 12:een, ColdFusion 2021 Update 13:sta ColdFusion 2021 Update 18:aan, prioriteetti muutettu 3:sta 1:een, ja Lisätietoja haavoittuvuuksista -taulukkoon on lisätty Huomautuksia-sarake.
10. syyskuuta 2024: Lisätty CVE-2024-45113
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
