Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB22-44

Bulletin-id

Publicatiedatum

Prioriteit

APSB22-44

11 oktober 2022

3

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion 2021 en 2018. Deze updates verhelpen kritiekebelangrijke en matige  kwetsbaarheden die kunnen leiden tot het uitvoeren van een willekeurige code, willekeurig schrijven naar een bestandssysteem, het omzeilen van beveiligingsfuncties en escalatie van bevoegdheden.



   

Van toepassing op de volgende versies

Product

Nummer update

Platform

ColdFusion 2018

Update 14 en eerdere versies    

Alles

ColdFusion 2021

Update 4 en eerdere versies

Alles

Oplossing

Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:

Product

Bijgewerkte versie

Platform

Prioriteitsbeoordeling

Beschikbaarheid

ColdFusion 2018

Update 15

Alles

3

ColdFusion 2021

Update 5

Alles

3

Opmerking:

Adobe raadt aan uw ColdFusion JDK/JRE te updaten naar de laatste versie van de LTS-releases voor JDK 11. Als u de ColdFusion-update zonder bijbehorende JDK-update toepast, is de server niet beveiligd.  Zie de relevante technische opmerkingen voor meer informatie. 

Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven op de beveiligingspagina van ColdFusion, en om de bijbehorende handleidingen voor lockdown te bekijken. 

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

CVSS-basisscore 

CVE-nummers

Stack-gebaseerde bufferoverloop (CWE-121)

Willekeurige uitvoering van een code

Kritiek

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35710

Heap-gebaseerde bufferoverloop (CWE-122)

Uitvoering van willekeurige code

Kritiek

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35711

Stack-gebaseerde bufferoverloop (CWE-121)

Uitvoering van willekeurige code

Kritiek

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35690

Heap-gebaseerde bufferoverloop (CWE-122)

Uitvoering van willekeurige code

Kritiek

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35712

Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22)

Uitvoering van willekeurige code

Kritiek

8.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38418

Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611)

Lezen van willekeurige bestandssystemen

Belangrijk

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38419

Gebruik van hard gecodeerde referenties (CWE-798)

Bevoegdhedenescalatie

Belangrijk

6.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

CVE-2022-38420

Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22)

Uitvoering van willekeurige code

Belangrijk

6.6

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38421

Blootstelling van informatie (CWE-200)

Omzeiling van beveiligingsfunctie

Belangrijk

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:

CVE-2022-38422

Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22)

Omzeiling van beveiligingsfunctie

Matig

4.4

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38423

Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22)

Schrijven van willekeurige bestandssystemen

Kritiek

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38424


Onjuiste invoervalidatie (CWE-20)


Lezen van willekeurige bestandssystemen

Belangrijk

7,5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42340

Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611)


Lezen van willekeurige bestandssystemen

Belangrijk

 

7,5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42341

Dankbetuigingen

Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:

  • rgod in samenwerking met Trend Micro Zero Day Initiative - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
  • reillyb - CVE-2022-42340, CVE-2022-42341

Vereiste voor ColdFusion JDK

COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger

Voor toepassingsservers   

Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver. 

Bijvoorbeeld:   

Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'   

Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'   

Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'   

Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.   

 

COLDFUSION 2018 HF1 en hoger  

Voor toepassingsservers   

Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver. 

Bijvoorbeeld:   

Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'   

Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'   

Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'   

Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.   

 


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com 

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online