Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB22-44

Bulletin-ID

Publiseringsdato

Prioritet

APSB22-44

11. oktober 2022

3

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2021 og 2018. Disse oppdateringene løser kritiskeviktige og moderate  sårbarheter som kan føre til kjøring av vilkårlig kode og eskalering av rettigheter, tilfeldig skriving til filsystem, omgåelse av sikkerhetsfunksjonn og eskalering av rettigheter.



   

Berørte versjoner

Produkt

Oppdateringsnummer

Plattform

ColdFusion 2018

Oppdatering 14 og tidligere versjoner    

Alle

ColdFusion 2021

Oppdatering 4 og tidligere versjoner

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt

Oppdatert versjon

Plattform

Prioritet Klassifisering

Tilgjengelighet

ColdFusion 2018

Oppdatering 15

Alle

3

ColdFusion 2021

Oppdatering 5

Alle

3

Merk:

Adobe anbefaler å oppdatere ColdFusion JDK/JRE til den nyeste versjonen av LTS-versjonene for JDK 11. Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren.  Se de relevante teknologinotatene for mer informasjon. 

Adobe  anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på  ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.   

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVSS-grunnscore 

CVE-numre

Stakkbasert bufferoverflyt (CWE-121)

Kjøring av vilkårlig kode

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35710

Heapbasert bufferoverflyt (CWE-122)

Kjøring av vilkårlig kode

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35711

Stakkbasert bufferoverflyt (CWE-121)

Kjøring av vilkårlig kode

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35690

Heapbasert bufferoverflyt (CWE-122)

Kjøring av vilkårlig kode

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35712

Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22)

Vilkårlig kjøring av kode

Kritisk

8.1

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38418

Feil begrensning av referanse til ekstern XML-enhet (XXE) (CWE-611)

Vilkårlig lesing av filsystem

Viktig

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38419

Bruk av hardkodet legitimasjon (CWE-798)

Eskalering av rettigheter

Viktig

6.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

CVE-2022-38420

Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22)

Vilkårlig kjøring av kode

Viktig

6.6

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38421

Informasjonseksponering (CWE-200)

Omgåelse av sikkerhetsfunksjon

Viktig

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2022-38422

Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22)

Omgåelse av sikkerhetsfunksjon

Moderat

4.4

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38423

Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22)

Tilfelding skriving til filsystem

Kritisk

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38424


Feil inndatavalidering (CWE-20)


Vilkårlig lesing av filsystem

Viktig

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42340

Feil begrensning av referanse til ekstern XML-enhet (XXE) (CWE-611)


Vilkårlig lesing av filsystem

Viktig

 

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42341

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:

  • rgod i samarbeid med Trend Micro Zero Day Initiative - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
  • reillyb - CVE-2022-42340, CVE-2022-42341

Krav forColdFusion JDK

COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere

For applikasjonsservere   

På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.  

For eksempel:   

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf   

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.   

 

COLDFUSION 2018 HF1 og nyere  

For applikasjonsservere   

På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.  

For eksempel:   

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf   

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.   

 


Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com 

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet