安全性公告 ID
上次更新時間
2025年1月9日
Adobe ColdFusion 安全性更新 | APSB24-14
|
|
發布日期 |
優先順序 |
|
APSB24-14 |
2024 年 3 月 12 日 |
1 |
摘要
Adobe 已發佈 ColdFusion 2023 版和 2021 版的安全性更新。這些更新旨在解決可能導致檔案系統任意讀取和權限提升的重大漏洞。
Adobe 知悉 CVE-2024-20767 含有可能會導致系統任意讀取檔案的已知概念驗證。
受影響的版本
|
產品 |
更新編號 |
平台 |
|
ColdFusion 2023 |
更新 6 及舊版 |
全部 |
|
ColdFusion 2021 |
更新 12 (含) 以前版本 |
全部 |
解決方法
Adobe 將這些更新歸類為以下的優先順序分級,並建議使用者將其安裝更新為最新版本:
註解:
請參閱更新的序列篩選文件,深入瞭解如何防止不安全的 Wddx 還原序列化攻擊 https://helpx.adobe.com/tw/coldfusion/kb/coldfusion-serialfilter-file.html
漏洞詳細資料
|
漏洞類別 |
漏洞影響 |
嚴重性 |
CVSS 基本評分 |
CVE 編號 |
備註 |
|
|
存取控制不當 (CWE-284) |
檔案系統任意寫入 |
重大 |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
ColdFusion 2023 更新版本 12 及 ColdFusion 2021 更新版本 18 已進一步解決此安全漏洞。 請參閱 APSB24-107 以取得詳細資訊。 |
|
不當授權 (CWE-287) |
權限提升 |
重大 |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
ColdFusion 2023 更新版本 7 (含) 以上及 ColdFusion 2021 更新版本 13 (含) 以上已解決此問題。 |
鳴謝:
Adobe 在此感謝以下研究人員回報此問題,與 Adobe 共同保護我們的客戶:
- ma4ter - CVE-2024-20767
- Brian Reilly (reillyb) - CVE-2024-45113
備註:Adobe 與 HackerOne 推出一個公開錯誤懸賞計畫。如果您有興趣以外部安全研究人員身分與 Adobe 合作,請參考:https://hackerone.com/adobe
註解:
Adobe 建議您將 ColdFusion JDK/JRE LTS 更新至最新版本。 查看下列 ColdFusion 支援矩陣,了解您支援的 JDK 版本。
ColdFusion 支援矩陣:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
在沒有相應 JDK 更新的情況下套用 ColdFusion 更新將無法保護伺服器的安全。 如需詳細資訊,請參閱相關的技術說明。
Adobe 也建議客戶套用 ColdFusion 安全性頁面所列的安全性組態設定,並檢閱個別的鎖定指南。
ColdFusion JDK 需求
COLDFUSION 2023 (版本 2023.0.0.330468) 及更新版本
針對應用程式伺服器
在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**」。
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標。
COLDFUSION 2021 (版本 2021.0.0.323925) 及更高版本
針對應用程式伺服器
在安裝 JEE 時,請根據使用的應用程式伺服器類型,在相應的啟動檔案中,設定下列 JVM 旗標:「-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**。」
例如:
Apache Tomcat 應用程式伺服器:編輯「Catalina.bat/sh」檔案中的 JAVA_OPTS
WebLogic 應用程式伺服器:編輯「startWeblogic.cmd」檔案中的 JAVA_OPTIONS
WildFly/EAP 應用程式伺服器:編輯「standalone.conf」檔案中的 JAVA_OPTS
請在與 ColdFusion 一起安裝而非獨立安裝的 JEE 上,設定 JVM 旗標.
修訂
2024 年 12 月 23 日 - 更新版本:摘要、ColdFusion 2023 更新版本 7 至 ColdFusion 2023 更新版本 12、ColdFusion 2021 更新版本 13 至 ColdFusion 2021 更新版本 18、優先順序 3 至 1 的解決方案,以及漏洞詳細資料表格新增了「備註」欄位。
2024 年 9 月 10 日:新增 CVE-2024-45113
如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com
