Adobe – sikkerhetsbulletin

Søk

Sist oppdatert 28. nov. 2023

Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB23-52

Bulletin-ID	Publiseringsdato	Prioritet
APSB23-52	14. november 2023	3

Sammendrag

Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2023 og 2021. Disse oppdateringene løser kritiske, viktige og moderate sikkerhetsproblemer som kan føre til kjøring av vilkårlig kode og omgåelse av sikkerhetsfunksjoner.

Berørte versjoner

Produkt	Oppdateringsnummer	Plattform
ColdFusion 2023	Oppdatering 5 og tidligere versjoner	Alle
ColdFusion 2021	Oppdatering 11 og tidligere versjoner	Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:

Produkt	Oppdatert versjon	Plattform	Prioritet Klassifisering	Tilgjengelighet
ColdFusion 2023	Oppdatering 6	Alle	3	Teknisk merknad
ColdFusion 2021	Oppdatering 12	Alle	3	Teknisk merknad

Merk:

Hvis du vil ha mer informasjon om beskyttelse mot usikre angrep med WDDX-deserialisering, kan du se https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori	Sikkerhetsprobleminnvirkning	Alvorlighetsgrad	CVSS-grunnscore	CVSS-vektor	CVE-numre
Deserialisering av ikke-klarerte data (CWE-502)	Vilkårlig kjøring av kode	Kritisk	9.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N	CVE-2023-44350
Feil tilgangskontroll (CWE-284)	Omgåelse av sikkerhetsfunksjon	Kritisk	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	CVE-2023-26347
Deserialisering av ikke-klarerte data (CWE-502)	Kjøring av vilkårlig kode	Kritisk	9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	CVE-2023-44351
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)	Kjøring av vilkårlig kode	Viktig	6.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	CVE-2023-44352
Deserialisering av ikke-klarerte data (CWE-502)	Vilkårlig kjøring av kode	Viktig	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N	CVE-2023-44353
Feil inndatavalidering (CWE-20)	Kjøring av vilkårlig kode	Moderat	4.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	CVE-2023-44355

Anerkjennelser:

Adobe takker følgende forskere for at de rapporterte dette problemet, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:   

Brian Reilly - CVE-2023-44350, CVE-2023-44355
Daniel Jensen – CVE-2023-44351
pwnii (pwnwithlove) – CVE-2023-44352
McCaulay Hudson – CVE-2023-44353
Matthew Galligan og Jon Cagan, CISA – CVE-2023-26347

MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.

Merk:

Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen. Sjekk ColdFusion-støttematrisen nedenfor for JDK-versjonen som støttes.

ColdFusion-støttematrise

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren. Hvis du vil ha mer informasjon, kan du se de relevante tekniske merknadene.

Adobe  anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på  ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.  

Krav for ColdFusion JDK

COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere

På JEE-installasjon installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes. 

Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.

COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere

For applikasjonsservere  

På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

i respektive oppstartsfil  avhengig av typen applikasjonsserver som brukes. 

For eksempel:  

Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh

WebLogic-applikasjonsserver:  Rediger JAVA_OPTIONS i filen startWeblogic.cmd  

WildFly/EAP-applikasjonsserver:  Rediger JAVA_OPTS i filen standalone.conf  

Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.  

Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com

Få hjelp raskere og enklere

Ny bruker?