Tiedotteen tunnus
Päivitetty viimeksi
25. syyskuuta 2024
Adobe ColdFusionin tietoturvapäivitykset | APSB24-71
|
|
Julkaisupäivä |
Prioriteetti |
|
APSB24-71 |
10. syyskuuta 2024 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2023 ja 2021. Nämä päivitykset ratkaisevat kriittisen haavoittuvuuden, joka voi johtaa mielivaltaiseen koodin suoritukseen.
Versiot
|
Tuote |
Päivityksen numero |
Ympäristö |
|
ColdFusion 2023 |
Päivitys 9 ja aiemmat versiot |
Kaikki |
|
ColdFusion 2021 |
Päivitys 15 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
|---|---|---|---|---|
|
ColdFusion 2023 |
Päivitys 10 |
Kaikki |
3 |
|
|
ColdFusion 2021 |
Päivitys 16 |
Kaikki |
3 |
Huomautus:
Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia Wddx-deserialisointihyökkäyksiä vastaan https://helpx.adobe.com/fi/coldfusion/kb/coldfusion-serialfilter-file.html
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numerot |
|
|
Ei-luotettavien tietojen sarjoituksen purkaminen (CWE-502) |
Mielivaltaisen koodin suoritus |
Kriittinen |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-41874 |
Kiitokset:
Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- sapra – CVE-2024-41874
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Huomautus:
Adobe suosittelee tietoturvatoimena ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. ColdFusionin lataussivu päivitetään säännöllisesti siten, että se sisältää uusimmat Java-asennusohjelmat asennuksesi tukemaa JDK-versiota varten alla olevien taulukoiden mukaisesti.
Ulkoisen JDK:n käyttöä koskevia ohjeita on artikkelissa ColdFusionin JVM:n vaihto.
Adobe suosittelee myös, että kaikki ottavat käyttöön ColdFusionin tietoturvadokumentaatiossa esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.
ColdFusion JDK -vaatimus
COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.
COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat
Sovelluspalvelimia varten
JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**”
vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.
Esimerkiksi:
Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa
Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa
Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa
Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com
