Adoben tietoturvatiedote

Adobe ColdFusionin tietoturvapäivitykset | APSB25-93

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB25-93

9. syyskuuta 2025

1

Yhteenveto

Adobe on julkaissut tietoturvapäivityksiä ColdFusion-versioille 2025, 2023 ja 2021. Päivitykset korjaavat kriittisen haavoittuvuuden, joka voi johtaa mielivaltaiseen tiedostojärjestelmään kirjoitukseen.

 Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.

Versiot

Tuote

Päivityksen numero

Ympäristö

ColdFusion 2025

Päivitys 3 ja aiemmat versiot

Kaikki

ColdFusion 2023

Päivitys 15 ja aiemmat versiot
  

Kaikki

ColdFusion 2021

Päivitys 21 ja aiemmat versiot

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:

Tuote

Päivitetty versio

Ympäristö

Prioriteettiluokitus

Saatavuus

ColdFusion 2025

Päivitys 4

Kaikki

1

ColdFusion 2023

Päivitys 16

Kaikki

1

ColdFusion 2021

Päivitä 22

Kaikki

1

Huomautus:

Tietoturvasyistä suosittelemme vahvasti käyttämään uusinta mysql-java-liitintä. Lisätietoja sen käytöstä on osoitteessa  osoitteessa https://helpx.adobe.com/coldfusion/kb/coldfusion-configuring-mysql-jdbc.html

Katso päivitetystä sarjasuodattimen dokumentaatiosta lisätietoja suojautumisesta suojaamattomia Wddx-deserialisointihyökkäyksiä vastaan https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVSS-peruspisteet 

CVE-numerot

Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22)

Mielivaltainen tiedostojärjestelmään kirjoitus

Kriittinen

10.0

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE-2025-54261

Kiitokset:

Adobe haluaa kiittää seuraavia tutkijoita tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:   

  • Nhien Pham (nhienit2010) - CVE-2025-54261

HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.

Huomautus:

Adobe suosittelee tietoturvatoimena ColdFusion JDK/JRE LTS -version päivittämistä uusimpaan päivitysversioon. ColdFusionin lataussivu päivitetään säännöllisesti siten, että se sisältää uusimmat Java-asennusohjelmat asennuksesi tukemaa JDK-versiota varten alla olevien taulukoiden mukaisesti. 

Ulkoisen JDK:n käyttöä koskevia ohjeita on artikkelissa ColdFusionin JVM:n vaihto

Adobe suosittelee myös, että kaikki ottavat käyttöön ColdFusionin tietoturvadokumentaatiossa esitellyt tietoturva-asetukset ja tutustuvat vastaaviin lukitusoppaisiin.    

ColdFusion JDK -vaatimus

COLDFUSION 2025 (versio 2023.0.0.331385) ja uudemmat
Sovelluspalvelimia varten

EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**; ” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.

Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.

 

COLDFUSION 2023 (versio 2023.0.0.330468) ja uudemmat
Sovelluspalvelimia varten

EE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;;” vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.

Esimerkiksi:
Apache Tomcat -sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”Catalina.bat/sh”
WebLogic-sovelluspalvelin: muokkaa kohdetta JAVA_OPTIONS tiedostossa ”startWeblogic.cmd”
WildFly/EAP-sovelluspalvelin: muokkaa kohdetta JAVA_OPTS tiedostossa ”standalone.conf”
Aseta JVM-liput ColdFusionin JEE-asennuksessa, ei erillisasennuksessa.

 

COLDFUSION 2021 (versiot 2021.0.0.323925) ja uudemmat

Sovelluspalvelimia varten   

JEE-asennuksissa aseta seuraava JVM-lippu: ”-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**; !com.mysql.cj.jdbc.interceptors.**;!org.apache.commons.collections.**;

vastaavassa käynnistystiedostossa käytetyn sovelluspalvelimen tyypin mukaan.

Esimerkiksi:   

Muokkaa Apache Tomcat -sovelluspalvelimella JAVA_OPTS-kohdetta ”Catalina.bat/sh”-tiedostossa   

Muokkaa WebLogic-sovelluspalvelimella JAVA_OPTIONS-kohdetta ”startWeblogic.cmd”-tiedostossa   

Muokkaa WildFly/EAP-sovelluspalvelimella JAVA_OPTS-kohdetta ”standalone.conf”-tiedostossa   

Määritä JVM-liput ColdFusionin JEE-asennuksessa, mutta ei erillisasennuksessa.   


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com 

Adobe, Inc.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?