ID bollettino
Ultimo aggiornamento il
2 ago 2023
Aggiornamenti di sicurezza disponibili per Adobe ColdFusion | APSB23-40
|
|
Data di pubblicazione |
Priorità |
|
APSB23-40 |
11 luglio 2023 |
1 |
Riepilogo
Adobe ha rilasciato alcuni aggiornamenti di sicurezza per ColdFusion, versioni 2023, 2021 e 2018. Questi aggiornamenti risolvono vulnerabilità critiche e importanti che potrebbero portare all'esecuzione di codice arbitrario e l’aggiramento di funzioni di sicurezza.
Adobe è consapevole che la vulnerabilità CVE-2023-29298 è stata sfruttata in un numero limitato di attacchi mirati ad Adobe ColdFusion.
Versioni interessate
|
Prodotto |
Numero aggiornamento |
Piattaforma |
|
ColdFusion 2018 |
Aggiornamento 16 e versioni precedenti |
Tutte |
|
ColdFusion 2021 |
Aggiornamento 6 e versioni precedenti |
Tutte |
|
ColdFusion 2023 |
Versione GA (2023.0.0.330468) |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:
|
Prodotto |
Versione aggiornata |
Piattaforma |
Livello di priorità |
Disponibilità |
|---|---|---|---|---|
|
ColdFusion 2018 |
Aggiornamento 17 |
Tutte |
1 |
|
|
ColdFusion 2021 |
Aggiornamento 7 |
Tutte |
1 |
|
|
ColdFusion 2023 |
Aggiornamento 1 |
Tutte |
1 |
Nota:
Adobe consiglia di aggiornare ColdFusion JDK/JRE versione LTS alla versione di aggiornamento più recente. Controllate la matrice di supporto di ColdFusion qui sotto per la tua versione JDK supportata.
L'applicazione dell'aggiornamento di ColdFusion senza un aggiornamento del JDK corrispondente NON garantirà la protezione del server. Consulta le note tecniche necessarie per ulteriori informazioni.
Adobe consiglia inoltre ai clienti di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Punteggio base CVSS |
Codici CVE |
|
|
Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Critica |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserializzazione di dati non affidabili (CWE-502) |
Esecuzione di codice arbitrario |
Critica |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Limitazione impropria dell’eccesso di tentativi di autenticazione (CWE-307) |
Aggiramento della funzione di sicurezza |
Importante |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Ringraziamenti
Adobe desidera ringraziare le seguenti persone per aver segnalato i relativi problemi e per aver collaborato con Adobe per aiutare a proteggere i nostri clienti:
- Stephen Fewer - CVE-2023-29298
- Nicolas Zilio (CrowdStrike) - CVE-2023-29300
- Brian Reilly - CVE-2023-29301
NOTA: Adobe dispone di un programma di bug bounty privato, solo su invito, con HackerOne. Se sei interessato a lavorare con Adobe come ricercatore di sicurezza esterno, compila questo modulo per le fasi successive.
Requisiti JDK di ColdFusion
COLDFUSION 2023 (versione 2023.0.0.330468) e versioni successive
Per i server di applicazioni
Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.
Ad esempio:
Server di applicazione Apache Tomcat: modifica JAVA_OPTS nel file 'Catalina.bat/sh'
Server di applicazione WebLogic: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
Server di applicazione WildFly/EAP: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i flag JVM su un'installazione JEE di ColdFusion, non su un'installazione standalone.
COLDFUSION 2021 (versione 2021.0.0.323925) e versioni successive
Per i server di applicazioni
Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.
Ad esempio:
Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.
COLDFUSION 2018 HF1 e versioni successive
Per i server di applicazioni
Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", nel relativo file di avvio in base al tipo di server applicazioni in uso.
Ad esempio:
Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.
Revisioni
19 luglio 2023
- Il paragrafo di riepilogo è stato aggiornato per indicare che Adobe è consapevole che la vulnerabilità CVE-2023-29298 è stata sfruttata in un numero limitato di attacchi mirati ad Adobe ColdFusion.
Per ulteriori informazioni visita https://helpx.adobe.com/it/security.html o invia un'e-mail a PSIRT@adobe.com
