ID bollettino
Ultimo aggiornamento il
9 gen 2025
Aggiornamenti di sicurezza disponibili per Adobe ColdFusion | APSB24-14
|
|
Data di pubblicazione |
Priorità |
|
APSB24-14 |
12 marzo 2024 |
1 |
Riepilogo
Adobe ha rilasciato alcuni aggiornamenti di sicurezza per ColdFusion, versioni 2023 e 2021. Questi aggiornamenti risolvono vulnerabilità critiche che potrebbero portare alla lettura arbitraria del file system e all’acquisizione illecita di privilegi.
Adobe è a conoscenza del fatto che la vulnerabilità CVE-2024-20767 presenta una proof of concept nota che potrebbe provocare la lettura arbitraria di file system.
Versioni interessate
|
Prodotto |
Numero aggiornamento |
Piattaforma |
|
ColdFusion 2023 |
Aggiornamento 6 e versioni precedenti |
Tutte |
|
ColdFusion 2021 |
Aggiornamento 12 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti di aggiornare le proprie installazioni alle versioni più recenti:
|
Prodotto |
Versione aggiornata |
Piattaforma |
Livello di priorità |
Disponibilità |
|---|---|---|---|---|
|
ColdFusion 2023 |
Aggiornamento 12 |
Tutte |
1 |
|
|
ColdFusion 2021 |
Aggiornamento 18 |
Tutte |
1 |
Nota:
Per ulteriori dettagli sulla protezione contro gli attacchi di deserializzazione Wddx non sicuri, consulta la documentazione aggiornata sui filtri di serie https://helpx.adobe.com/it/coldfusion/kb/coldfusion-serialfilter-file.html
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Punteggio base CVSS |
Codici CVE |
Note |
|
|
Controllo di accesso non corretto (CWE-284) |
Lettura di file system arbitraria |
Critica |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Questa vulnerabilità è stata ulteriormente risolta in ColdFusion 2023 Update 12 e ColdFusion 2021 Update 18. Per ulteriori informazioni, consulta APSB24-107. |
|
Autenticazione non corretta (CWE-287) |
Acquisizione illecita di privilegi |
Critico |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Questo problema è stato risolto in ColdFusion 2023 Update 7 e successivi e in ColdFusion 2021 Update 13 e successivi. |
Ringraziamenti:
Adobe desidera ringraziare i ricercatori seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- ma4ter - CVE-2024-20767
- Brian Reilly (reillyb) - CVE-2024-45113
NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe come ricercatore esterno sulla sicurezza, visita: https://hackerone.com/adobe
Nota:
Adobe consiglia di aggiornare ColdFusion JDK/JRE versione LTS alla versione di aggiornamento più recente. Controlla la matrice di supporto di ColdFusion qui sotto per la tua versione JDK supportata.
Matrice di supporto di ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
L'applicazione dell'aggiornamento di ColdFusion senza un aggiornamento del JDK corrispondente NON garantirà la protezione del server. Consulta le note tecniche necessarie per ulteriori informazioni.
Adobe consiglia inoltre ai clienti di applicare le impostazioni di configurazione della protezione descritte nella pagina sulla sicurezza di ColdFusion, nonché di consultare la relativa Guida alla protezione.
Requisiti JDK di ColdFusion
COLDFUSION 2023 (versione 2023.0.0.330468) e versioni successive
Per i server di applicazioni
Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" nel relativo file di avvio in base al tipo di server applicazioni in uso.
Ad esempio:
Server di applicazione Apache Tomcat: modifica JAVA_OPTS nel file 'Catalina.bat/sh'
Server di applicazione WebLogic: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
Server di applicazione WildFly/EAP: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i flag JVM su un'installazione JEE di ColdFusion, non su un'installazione standalone.
COLDFUSION 2021 (versione 2021.0.0.323925) e versioni successive
Per i server di applicazioni
Sulle installazioni JEE, inserisci il seguente flag JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
nel relativo file di avvio in base al tipo di server applicazioni in uso.
Ad esempio:
Server applicazioni Apache Tomcat, modifica JAVA_OPTS nel file 'Catalina.bat/sh'
Server applicazioni WebLogic: modifica JAVA_OPTIONS nel file 'startWeblogic.cmd'
Server applicazioni WildFly/EAP: modifica JAVA_OPTS nel file 'standalone.conf'
Imposta i flag JVM su una installazione JEE di ColdFusion, non una installazione standalone.
Revisioni
23 dicembre 2024 - Aggiornato: Sommario, Soluzione da ColdFusion 2023 Update 7 a ColdFusion 2023 Update 12, ColdFusion 2021 Update 13 a ColdFusion 2021 Update 18, Priorità da 3 a 1 e aggiunta colonna Note alla tabella Dettagli vulnerabilità.
10 settembre 2024: Aggiunto CVE-2024-45113
Per ulteriori informazioni visita https://helpx.adobe.com/it/security.html o invia un'e-mail a PSIRT@adobe.com
