게시판 ID
마지막 업데이트 날짜
2023년 8월 2일
Adobe ColdFusion에 사용할 수 있는 보안 업데이트 | APSB23-41
|
|
게시 날짜 |
우선 순위 |
|
APSB23-41 |
2023년 7월 14일 |
1 |
요약
Adobe는 ColdFusion 버전 2023, 2021 및 2018용 보안 업데이트를 출시했습니다. 이 업데이트는 임의의 코드를 실행할 수도 있는 치명적인 취약점을 해결합니다.
Adobe는 개념 증명 블로그에 CVE-2023-38203이 게시되었음을 인지하고 있습니다.
해당하는 버전
|
제품 |
업데이트 번호 |
플랫폼 |
|
ColdFusion 2018 |
업데이트 17 및 이전 버전 |
모두 |
|
ColdFusion 2021 |
업데이트 7 및 이전 버전 |
모두 |
|
ColdFusion 2023 |
업데이트 1 및 이전 버전 |
모두 |
해결 방법
Adobe는 이 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
참고:
나중에 역직렬화(Deserialization) 취약점이 있는 패키지를 인지하게 된 경우 <cfhome>/lib의 serialfilter.txt 파일을 사용하여 패키지를 차단 목록에 추가합니다(예: !org.jroup.**;)
취약성 세부 정보
감사의 말:
Adobe는 이 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 연구원분들께 감사의 말씀을 전합니다:
- Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research - CVE-2023-38203
- MoonBack (ipplus360) - CVE-2023-38203
참고: Adobe는 HackerOne과 함께 비공개 초대 전용 버그 바운티 프로그램을 운영하고 있습니다. 외부 보안 연구원으로 Adobe와 협력하는 데 관심이 있으시면 이 양식을 작성하여 다음 단계를 진행하십시오.
감사의 말
Adobe는 이 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 연구원분들께 감사의 말씀을 전합니다:
- Fortinet’s FortiGuard Labs의 Yonghui Han - CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319
참고: Adobe는 HackerOne과 함께 비공개 초대 전용 버그 바운티 프로그램을 운영하고 있습니다. 외부 보안 연구원으로 Adobe와 협력하는 데 관심이 있으시면 이 양식을 작성하여 다음 단계를 진행하십시오.
참고:
ColdFusion JDK/JRE LTS 버전을 최신 업데이트 릴리스로 업데이트하는 것이 좋습니다. 지원되는 JDK 버전은 아래 ColdFusion 지원 정보에서 확인하십시오.
ColdFusion 지원 정보:
CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
해당 JDK 업데이트 없이 ColdFusion 업데이트를 적용해도 서버가 안전하지 않습니다. 자세한 내용은 관련 TechNote를 참조하십시오.
또한 ColdFusion 보안 페이지에 요약된 내용에 따라 보안 구성 설정을 적용하고 해당 Lockdown 안내서를 검토하는 것이 좋습니다.
ColdFusion JDK 요구 사항
ColdFusion 2023(버전 2023.0.0.330468) 이상
애플리케이션 서버
JEE 설치 시 사용 중인 애플리케이션 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" 를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일에서 JAVA_OPTS를 편집합니다
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일에서 JAVA_OPTIONS를 편집합니다
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일에서 JAVA_OPTS를 편집합니다
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다
COLDFUSION 2021(버전 2021.0.0.323925) 이상
애플리케이션 서버
JEE 설치 시, 사용 중인 애플리케이션 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 “ Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
COLDFUSION 2018 HF1 이상
응용 프로그램 서버
JEE 설치 시, 사용 중인 애플리케이션 서버의 유형에 따라 해당 시작 파일에서 JVM 플래그 “ Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
를 설정합니다.
예:
Apache Tomcat 애플리케이션 서버: 'Catalina.bat/sh' 파일의 JAVA_OPTS를 편집합니다.
WebLogic 애플리케이션 서버: 'startWeblogic.cmd' 파일의 JAVA_OPTIONS를 편집합니다.
WildFly/EAP 애플리케이션 서버: 'standalone.conf' 파일의 JAVA_OPTS를 편집합니다.
독립형 설치가 아닌 ColdFusion의 JEE 설치 시 JVM 플래그를 설정합니다.
자세한 내용은 https://helpx.adobe.com/kr/security.html을 방문하거나 PSIRT@adobe.com으로 이메일을 보내십시오
