Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Adobe ColdFusion | APSB23-41

Bulletin-id

Publicatiedatum

Prioriteit

APSB23-41

14 juli 2023

1

Samenvatting

Adobe heeft beveiligingsupdates uitgebracht voor ColdFusion versies 2023, 2021 en 2018. Deze updates lossen een kritieke kwetsbaarheid op die zou kunnen leiden tot uitvoering van willekeurige code.

Adobe is zich ervan op de hoogte dat er een proof of concept-blog is gepost voor CVE-2023-38203.

Van toepassing op de volgende versies

Product

Nummer update

Platform

ColdFusion 2018

Update 17 en eerdere versies    

Alles

ColdFusion 2021

Update 7 en eerdere versies

Alle

ColdFusion 2023

Update 1 en eerdere versies

Alles

Oplossing

Adobe heeft aan deze updates de onderstaande prioriteit toegekend en raadt gebruikers aan hun installaties bij te werken naar de meest recente versies:

Product

Bijgewerkte versie

Platform

Prioriteitsbeoordeling

Beschikbaarheid

ColdFusion 2018

Update 18

Alles

1

ColdFusion 2021

Update 8

Alles

1

ColdFusion 2023

Update 2

Alle

                 1

Opmerking:

Als u in de toekomst een pakket ontdekt met een kwetsbaarheid voor deserialisatie, gebruik dan het bestand serialfilter.txt in <cfhome>/lib om het pakket op de denylist te zetten (bijv.: !.org.jroup.**;)

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

CVSS-basisscore 

CVE-nummers

Deserialisatie van niet-vertrouwde gegevens (CWE-502)

Willekeurige uitvoering van een code

Kritiek

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-38203

Dankbetuigingen:

Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:   

  • Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research - CVE-2023-38203
  • MoonBack (ipplus360) - CVE-2023-38203

OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.

Dankbetuigingen

Adobe bedankt de volgende onderzoekers voor het melden van dit probleem en voor de samenwerking met Adobe om onze klanten te helpen beschermen:    

  • Yonghui Han van Fortinet’s FortiGuard Labs - CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319

OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.

Opmerking:

Adobe raadt u aan uw ColdFusion JDK/JRE LTS-versie te updaten naar de nieuwste updaterelease. In de ColdFusion-ondersteuningsmatrix hieronder kunt u uw ondersteunde JDK-versie vinden.

ColdFusion-ondersteuningsmatrix:

CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

Als u de ColdFusion-update zonder bijbehorende JDK-update toepast, is de server NIET beveiligd.  Raadpleeg voor meer informatie de relevante technische opmerkingen.

Adobe raadt klanten ook aan om de instellingen van de beveiligingsconfiguratie toe te passen, zoals beschreven op de beveiligingspagina van ColdFusion, en om de bijbehorende handleidingen voor lockdown te bekijken. 

Vereiste voor ColdFusion JDK

COLDFUSION 2023 (versie 2023.0.0.330468) en hoger
Voor toepassingsservers

Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.

Bijvoorbeeld:
Apache Tomcat-toepassingsserver:  bewerk JAVA_OPTS in het bestand Catalina.bat/sh
WebLogic-toepassingsserver: bewerk JAVA_OPTIONS in het bestand startWeblogic.cmd
WildFly/EAP-toepassingsserver: bewerk JAVA_OPTS in het bestand standalone.conf
Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie. 

 

COLDFUSION 2021 (Versie 2021.0.0.323925) en hoger

Voor toepassingsservers   

Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.

Bijvoorbeeld:   

Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'   

Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'   

Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'   

Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.   

 

COLDFUSION 2018 HF1 en hoger  

Voor toepassingsservers   

Stel de volgende JVM-markering in op JEE-installaties: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

in het respectievelijke opstartbestand afhankelijk van het gebruikte type toepassingsserver.

Bijvoorbeeld:   

Toepassingsserver van Apache Tomcat: bewerk JAVA_OPTS in het bestand 'Catalina.bat/sh'   

Toepassingsserver van WebLogic: bewerk JAVA_OPTIONS in het bestand 'startWeblogic.cmd'   

Toepassingsserver van WildFly/EAP: bewerk JAVA_OPTS in het bestand 'standalone.conf'   

Stel de JVM-markeringen in op een JEE-installatie van ColdFusion, niet op een zelfstandige installatie.   

 


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com 

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?