Bulletin-ID
Sist oppdatert
2. aug. 2023
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB23-40
|
|
Publiseringsdato |
Prioritet |
|
APSB23-40 |
11. juli 2023 |
1 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2023, 2021 og 2018. Disse oppdateringene løser kritiske og viktige sikkerhetsproblemer som kan føre til kjøring av vilkårig kode og omgåelse av sikkerhetsfunksjon.
Adobe er klar over at CVE-2023-29298 har blitt utnyttet fritt i begrensede angrep rettet mot Adobe ColdFusion.
Berørte versjoner
|
Produkt |
Oppdateringsnummer |
Plattform |
|
ColdFusion 2018 |
Oppdatering 16 og tidligere versjoner |
Alle |
|
ColdFusion 2021 |
Oppdatering 6 og tidligere versjoner |
Alle |
|
ColdFusion 2023 |
GA-utgave (2023.0.0.330468) |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
ColdFusion 2018 |
Oppdatering 17 |
Alle |
1 |
|
|
ColdFusion 2021 |
Oppdatering 7 |
Alle |
1 |
|
|
ColdFusion 2023 |
Oppdatering 1 |
Alle |
1 |
Merk:
Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen. Sjekk ColdFusion-støttematrisen for den støttede JDK-versjonen
Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering vil IKKE sikre serveren. Hvis du vil ha mer informasjon, kan du se de relevante tekniske merknadene.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-numre |
|
|
Feil tilgangskontroll (CWE-284) |
Omgåelse av sikkerhetsfunksjon |
Kritisk |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserialisering av ikke-klarerte data (CWE-502) |
Kjøring av vilkårlig kode |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Feil begrensning av for mange godkjenningsforsøk (CWE-307) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Anerkjennelser
Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
- Stephen Fewer – CVE-2023-29298
- Nicolas Zilio (CrowdStrike) – CVE-2023-29300
- Brian Reilly – CVE-2023-29301
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Krav for ColdFusion JDK
COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere
På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**», i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere
For applikasjonsservere
På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**», i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2018 HF1 og nyere
For applikasjonsservere
På JEE-installasjoner må du i tillegg sette JVM-flagget "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**», i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Revisjoner
19. juli 2023
- Et sammendrag av avsnittet som oppdateres til Adobe, er klar over at CVE-2023-29298 har blitt utnyttet ubegrenset i begrensede angrep rettet mot Adobe ColdFusion.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com
