Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB23-41

Bulletin-ID

Publiseringsdato

Prioritet

APSB23-41

14. juli 2023

1

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2023, 2021 og 2018. Disse oppdateringene løser et kritisk sikkerhetsproblem som kan føre til vilkårlig kjøring av kode.

Adobe er klar over at en konseptbevisblogg ble lagt ut for CVE-2023-38203.

Berørte versjoner

Produkt

Oppdateringsnummer

Plattform

ColdFusion 2018

Oppdatering 17 og tidligere versjoner    

Alle

ColdFusion 2021

Oppdatering 7 og tidligere versjoner

Alle

ColdFusion 2023

Oppdatering 1 og tidligere versjoner

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt

Oppdatert versjon

Plattform

Prioritet Klassifisering

Tilgjengelighet

ColdFusion 2018

Oppdatering 18

Alle

1

ColdFusion 2021

Oppdatering 8

Alle

1

ColdFusion 2023

Oppdatering 2

Alle

                 1

Merk:

Hvis du blir oppmerksom på en pakke med et sikkerhetsproblem med deserialisering i fremtiden, bruker du filen serialfilter.txt i <cfhome>/lib for å sette pakken på ekskluderingsliste (f.eks: !org.jroup.**;)

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVSS-grunnscore 

CVE-numre

Deserialisering av ikke-klarerte data (CWE-502)

Kjøring av vilkårlig kode

Kritisk

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-38203

Anerkjennelser:

Adobe takker følgende forskere for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:   

  • Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research – CVE-2023-38203
  • MoonBack (ipplus360) – CVE-2023-38203

MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.

Takk

Adobe takker følgende forskere for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:

  • Yonghui Han fra Fortinets FortiGuard Labs – CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319

MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.

Merk:

Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen. Sjekk ColdFusion-støttematrisen nedenfor for JDK-versjonen som støttes.

ColdFusion-støttematrise

CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren.  Hvis du vil ha mer informasjon, kan du se de relevante tekniske merknadene.

Adobe  anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på  ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.   

Krav for ColdFusion JDK

COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere

På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes.

Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.

 

COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere

For applikasjonsservere   

På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes. 

For eksempel:   

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf   

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.   

 

COLDFUSION 2018 HF1 og nyere  

For applikasjonsservere   

På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**»

i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes. 

For eksempel:   

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf   

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.   

 


Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com 

 Adobe

Få hjelp raskere og enklere

Ny bruker?