Bulletin-ID
Sist oppdatert
19. mai 2022
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB22-22
|
|
Publiseringsdato |
Prioritet |
|
APSB22-22 |
10. mai 2022 |
3 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2021 og 2018. Disse oppdateringene løser et kritisk sikkerhetsproblem som kan føre til kjøring av vilkårlig kode.
Berørte versjoner
|
Produkt |
Oppdateringsnummer |
Plattform |
|
ColdFusion 2018 |
Oppdatering 13 og tidligere versjoner |
Alle |
|
ColdFusion 2021 |
Versjon 3 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
ColdFusion 2018 |
Oppdatering 14 |
Alle |
3 |
|
|
ColdFusion 2021 |
Oppdatering 4 |
Alle |
3 |
Merk:
Adobe anbefaler å oppdatere ColdFusion JDK/JRE til den nyeste versjonen av LTS-versjonene for 1.8 og JDK 11. Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren. Se de relevante teknologinotatene for mer informasjon.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-numre |
|
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-28818 |
Takk
Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
- UB3RSiCK (ub3rsick) – CVE-2022-28818
Krav forColdFusion JDK
COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere
For applikasjonsservere
På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2018 HF1 og nyere
For applikasjonsservere
På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com
