Adobe 安全性公告

Adobe ColdFusion 發佈安全性更新 | APSB22-22

安全性公告 ID

發佈日期

優先順序

APSB22-22

2022 年 5 月 10 日

3

摘要

Adobe 已發佈 ColdFusion 2021 和 2018 版的安全性更新。這些更新可解決可能導致系統任意執行程式碼的一項重大  漏洞。
   

受影響的版本

產品

更新編號

平台

ColdFusion 2018

更新 13 和舊版    

全部

ColdFusion 2021

3 版 (含) 以前版本

全部

解決方法

Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:

產品

已更新的版本

平台

優先順序分級

上市情況

ColdFusion 2018

更新 14

全部

3

ColdFusion 2021

更新 4

全部

3

註解:

Adobe 建議您將 ColdFusion JDK/JRE 更新到適用於 1.8 和 JDK 11 的 LTS 最新版本。在沒有相應 JDK 更新的情況下套用 ColdFusion 更新將無法保護伺服器的安全。  如需詳細資訊,請參閱相關的技術說明。 

Adobe 也建議客戶套用 ColdFusion 安全性頁面所列的安全性組態設定,並檢閱個別的鎖定指南。 

弱點詳細資料

弱點類別

弱點影響

嚴重性

CVSS 基本評分 

CVE 編號

跨網站指令碼 (反映式 XSS) (CWE-79)

任意執行程式碼

重要 

5.4

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2022-28818

鳴謝

Adobe 在此感謝以下人員回報這些問題,與 Adobe 共同保護我們的客戶

  • UB3RSiCK (ub3rsick) - CVE-2022-28818

ColdFusion JDK 需求

COLDFUSION 2021 (版本 2021.0.0.323925) 及更高版本

針對應用程式伺服器   

在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:"-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”。 

例如:

Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS

WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS

WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS

請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標.   

 

COLDFUSION 2018 HF1 及更高版本  

針對應用程式伺服器   

在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:"-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”。 

例如:

Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS

WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS

WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS

請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標.   

 


如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com

 Adobe

更快、更輕鬆地獲得協助

新的使用者?