Bulletin-ID
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB22-44
|
Publiseringsdato |
Prioritet |
APSB22-44 |
11. oktober 2022 |
3 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2021 og 2018. Disse oppdateringene løser kritiske, viktige og moderate sårbarheter som kan føre til kjøring av vilkårlig kode og eskalering av rettigheter, tilfeldig skriving til filsystem, omgåelse av sikkerhetsfunksjonn og eskalering av rettigheter.
Berørte versjoner
Produkt |
Oppdateringsnummer |
Plattform |
ColdFusion 2018 |
Oppdatering 14 og tidligere versjoner |
Alle |
ColdFusion 2021 |
Oppdatering 4 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
---|---|---|---|---|
ColdFusion 2018 |
Oppdatering 15 |
Alle |
3 |
|
ColdFusion 2021 |
Oppdatering 5 |
Alle |
3 |
Adobe anbefaler å oppdatere ColdFusion JDK/JRE til den nyeste versjonen av LTS-versjonene for JDK 11. Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren. Se de relevante teknologinotatene for mer informasjon.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.
Informasjon om sikkerhetsproblemet
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-numre |
|
Stakkbasert bufferoverflyt (CWE-121) |
Kjøring av vilkårlig kode |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
Heapbasert bufferoverflyt (CWE-122) |
Kjøring av vilkårlig kode |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
Stakkbasert bufferoverflyt (CWE-121) |
Kjøring av vilkårlig kode |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
Heapbasert bufferoverflyt (CWE-122) |
Kjøring av vilkårlig kode |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) |
Vilkårlig kjøring av kode |
Kritisk |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
Feil begrensning av referanse til ekstern XML-enhet (XXE) (CWE-611) |
Vilkårlig lesing av filsystem |
Viktig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
Bruk av hardkodet legitimasjon (CWE-798) |
Eskalering av rettigheter |
Viktig |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) |
Vilkårlig kjøring av kode |
Viktig |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
Informasjonseksponering (CWE-200) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) |
Tilfelding skriving til filsystem |
Kritisk |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
Viktig |
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
Feil begrensning av referanse til ekstern XML-enhet (XXE) (CWE-611) |
|
Viktig
|
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Takk
Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
- rgod i samarbeid med Trend Micro Zero Day Initiative - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb - CVE-2022-42340, CVE-2022-42341
Krav forColdFusion JDK
COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere
For applikasjonsservere
På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2018 HF1 og nyere
For applikasjonsservere
På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com