게시판 ID
Adobe ColdFusion에 사용할 수 있는 보안 업데이트 | APSB23-40
|
게시 날짜 |
우선 순위 |
APSB23-40 |
2023년 7월 11일 |
1 |
요약
해당하는 버전
제품 |
업데이트 번호 |
플랫폼 |
ColdFusion 2018 |
업데이트 16 및 이전 버전 |
모두 |
ColdFusion 2021 |
업데이트 6 및 이전 버전 |
모두 |
ColdFusion 2023 |
GA 릴리스(2023.0.0.330468) |
모두 |
해결 방법
Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
ColdFusion JDK/JRE LTS 버전을 최신 업데이트 릴리스로 업데이트하는 것이 좋습니다. 지원되는 JDK 버전은 아래 ColdFusion 지원 정보에서 확인하십시오.
해당 JDK 버전을 업데이트하지 않으면 ColdFusion 업데이트를 적용해도 서버를 안전하게 보호할 수 없습니다. 자세한 내용은 관련 TechNote를 참조하십시오.
또한 ColdFusion 보안 페이지에 요약된 내용에 따라 보안 구성 설정을 적용하고 해당 Lockdown 안내서를 검토하는 것이 좋습니다.
취약성 세부 정보
취약점 카테고리 |
취약성 영향 |
심각도 |
CVSS 기본 점수 |
CVE 번호 |
|
잘못된 액세스 제어(CWE-284) |
보안 기능 무시 |
치명적 |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
신뢰할 수 없는 데이터의 비일련화(CWE-502) |
임의 코드 실행 |
치명적 |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
과도한 인증 시도에 대한 부적절한 제한(CWE-307) |
보안 기능 무시 |
중요 |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
감사의 말
Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.
- Stephen Fewer - CVE-2023-29298
- Nicolas Zilio(CrowdStrike) - CVE-2023-29300
- Brian Reilly - CVE-2023-29301
참고: Adobe는 HackerOne과 함께 비공개 초대 전용 버그 바운티 프로그램을 운영하고 있습니다. 외부 보안 연구원으로 Adobe와 협력하는 데 관심이 있으시면 이 양식을 작성하여 다음 단계를 진행하십시오.
ColdFusion JDK 요구 사항
ColdFusion 2023(버전 2023.0.0.330468) 이상
애플리케이션 서버
JEE 설치 시 사용 중인 애플리케이션 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**"를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일에서 JAVA_OPTS를 편집합니다
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일에서 JAVA_OPTIONS를 편집합니다
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일에서 JAVA_OPTS를 편집합니다
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다
COLDFUSION 2021(버전 2021.0.0.323925) 이상
응용 프로그램 서버
JEE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**"를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
COLDFUSION 2018 HF1 이상
응용 프로그램 서버
JEE 설치 시, 사용 중인 응용 프로그램 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**"를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
개정 버전
2023년 7월 19일
- 요약 단락이 다음과 같이 업데이트됨: Adobe는 CVE-2023-29298이 Adobe ColdFusion을 대상으로 하는 제한된 공격에서 악용되었음을 인지하고 있습니다.
자세한 내용은 https://helpx.adobe.com/kr/security.html을 방문하거나 PSIRT@adobe.com으로 이메일을 보내십시오