게시판 ID
마지막 업데이트 날짜
2022년 11월 28일
Adobe ColdFusion에 사용할 수 있는 보안 업데이트 | APSB22-44
|
|
게시 날짜 |
우선 순위 |
|
APSB22-44 |
2022년 10월 11일 |
3 |
요약
해당하는 버전
|
제품 |
업데이트 번호 |
플랫폼 |
|
ColdFusion 2018 |
14 및 이전 버전 업데이트 |
모두 |
|
ColdFusion 2021 |
4 및 이전 버전 업데이트 |
모두 |
해결 방법
Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
참고:
ColdFusion JDK/JRE를 및 JDK 11용 최신 버전의 LTS 릴리스로 업데이트하는 것이 좋습니다. 해당 JDK 업데이트 없이 ColdFusion 업데이트를 적용해도 서버가 안전하지 않습니다. 자세한 내용은 관련 TechNote를 참조하십시오.
또한 ColdFusion 보안 페이지에 요약된 내용에 따라 보안 구성 설정을 적용하고 해당 Lockdown 안내서를 검토하는 것이 좋습니다.
취약성 세부 정보
|
취약점 카테고리 |
취약성 영향 |
심각도 |
CVSS 기본 점수 |
CVE 번호 |
|
|
스택 기반 버퍼 오버플로(CWE-121) |
임의 코드 실행 |
치명적 |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
|
힙 기반 버퍼 오버플로우(CWE-122) |
임의 코드 실행 |
치명적 |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
|
스택 기반 버퍼 오버플로(CWE-121) |
임의 코드 실행 |
치명적 |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
|
힙 기반 버퍼 오버플로우(CWE-122) |
임의 코드 실행 |
치명적 |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
|
제한된 디렉터리('Path Traversal')에 대한 경로 이름의 부적절한 제한(CWE-22) |
임의 코드 실행 |
치명적 |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
|
XML 외부 엔터티 참조('XXE')의 부적절한 제한(CWE-611) |
임의 파일 시스템 읽기 |
중요 |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
|
하드 코딩된 자격 증명 사용(CWE-798) |
권한 에스컬레이션 |
중요 |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
|
제한된 디렉터리('Path Traversal')에 대한 경로 이름의 부적절한 제한(CWE-22) |
임의 코드 실행 |
중요 |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
|
정보 노출(CWE-200) |
보안 기능 무시 |
중요 |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
|
제한된 디렉터리('Path Traversal')에 대한 경로 이름의 부적절한 제한(CWE-22) |
보안 기능 무시 |
보통 |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
|
제한된 디렉터리('Path Traversal')에 대한 경로 이름의 부적절한 제한(CWE-22) |
임의 파일 시스템 쓰기 |
치명적 |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
|
중요 |
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
|
XML 외부 엔터티 참조('XXE')의 부적절한 제한(CWE-611) |
|
중요
|
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
감사의 말
Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.
- Trend Micro Zero Day Initiative와 협력하는 rgod - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb - CVE-2022-42340, CVE-2022-42341
ColdFusion JDK 요구 사항
COLDFUSION 2021(버전 2021.0.0.323925) 이상
응용 프로그램 서버
JEE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**"를 설정합니다.
예:
Apache Tomcat Application Server: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.
WebLogic Application Server: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.
WildFly/EAP Application Server: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
COLDFUSION 2018 HF1 이상
응용 프로그램 서버
JEE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**"를 설정합니다.
예:
Apache Tomcat Application Server: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.
WebLogic Application Server: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.
WildFly/EAP Application Server: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
자세한 내용은 https://helpx.adobe.com/kr/security.html을 방문하거나 PSIRT@adobe.com
으로 이메일을 보내십시오
