Bulletin-id
Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB22-44
|
Publicatiedatum |
Prioriteit |
APSB22-44 |
11 oktober 2022 |
3 |
Samenvatting
Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion 2021 en 2018. Deze updates verhelpen kritieke, belangrijke en matige kwetsbaarheden die kunnen leiden tot het uitvoeren van een willekeurige code, willekeurig schrijven naar een bestandssysteem, het omzeilen van beveiligingsfuncties en escalatie van bevoegdheden.
Van toepassing op de volgende versies
Product |
Nummer update |
Platform |
ColdFusion 2018 |
Update 14 en eerdere versies |
Alles |
ColdFusion 2021 |
Update 4 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
---|---|---|---|---|
ColdFusion 2018 |
Update 15 |
Alles |
3 |
|
ColdFusion 2021 |
Update 5 |
Alles |
3 |
Adobe raadt aan uw ColdFusion JDK/JRE te updaten naar de laatste versie van de LTS-releases voor JDK 11. Als u de ColdFusion-update zonder bijbehorende JDK-update toepast, is de server niet beveiligd. Zie de relevante technische opmerkingen voor meer informatie.
Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven op de beveiligingspagina van ColdFusion, en om de bijbehorende handleidingen voor lockdown te bekijken.
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummers |
|
Stack-gebaseerde bufferoverloop (CWE-121) |
Willekeurige uitvoering van een code |
Kritiek |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
Heap-gebaseerde bufferoverloop (CWE-122) |
Uitvoering van willekeurige code |
Kritiek |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
Stack-gebaseerde bufferoverloop (CWE-121) |
Uitvoering van willekeurige code |
Kritiek |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
Heap-gebaseerde bufferoverloop (CWE-122) |
Uitvoering van willekeurige code |
Kritiek |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) |
Uitvoering van willekeurige code |
Kritiek |
8.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611) |
Lezen van willekeurige bestandssystemen |
Belangrijk |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
Gebruik van hard gecodeerde referenties (CWE-798) |
Bevoegdhedenescalatie |
Belangrijk |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) |
Uitvoering van willekeurige code |
Belangrijk |
6.6 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
Blootstelling van informatie (CWE-200) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C: |
CVE-2022-38422 |
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) |
Omzeiling van beveiligingsfunctie |
Matig |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
Onjuiste beperking van een padnaam naar een beperkte directory (Path Traversal) (CWE-22) |
Schrijven van willekeurige bestandssystemen |
Kritiek |
7,2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
Belangrijk |
7,5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
Onjuiste beperking van XML Externe entiteitsreferentie ('XXE') (CWE-611) |
|
Belangrijk
|
7,5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- rgod in samenwerking met Trend Micro Zero Day Initiative - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb - CVE-2022-42340, CVE-2022-42341
Vereiste voor ColdFusion JDK
COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
COLDFUSION 2018 HF1 en hoger
Voor toepassingsservers
Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.
Bijvoorbeeld:
Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'
Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'
Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com