Bulletin-ID
Sist oppdatert
9. jan. 2025
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB24-14
|
|
Publiseringsdato |
Prioritet |
|
APSB24-14 |
12. mars 2024 |
1 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2023 og 2021. Disse oppdateringene løser kritiske sikkerhetsproblemer som kan føre til vilkårlig lesing av filsystemet og eskalering av rettigheter.
Adobe er klar over at CVE-2024-20767 har et kjent konseptbevis som kan føre til lesing av tilfeldig filsystem.
Berørte versjoner
|
Produkt |
Oppdateringsnummer |
Plattform |
|
ColdFusion 2023 |
Oppdatering 6 og tidligere versjoner |
Alle |
|
ColdFusion 2021 |
Oppdatering 12 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
ColdFusion 2023 |
Oppdatering 12 |
Alle |
1 |
|
|
ColdFusion 2021 |
Oppdatering 18 |
Alle |
1 |
Merk:
Se den oppdaterte dokumentasjonen for det serielle filteret for mer informasjon om beskyttelse mot usikre Wddx-deserialiseringsangrep https://helpx.adobe.com/no/coldfusion/kb/coldfusion-serialfilter-file.html
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-numre |
Notater |
|
|
Feil tilgangskontroll (CWE-284) |
Arbitrært filsystem-lesing |
Kritisk |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Dette sikkerhetsproblemet er ytterligere utbedret i ColdFusion 2023-oppdatering 12 og ColdFusion 2021-oppdatering 18. Se APSB24-107 for mer informasjon. |
|
Ukorrekt autentisering (CWE-287) |
Eskalering av rettigheter |
Kritisk |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Dette er løst i ColdFusion 2023-oppdatering 7 og nyere, og ColdFusion 2021-oppdatering 13 og nyere. |
Anerkjennelser:
Adobe takker følgende forskere for at de rapporterte dette problemet, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- ma4ter – CVE-2024-20767
- Brian Reilly (reillyb) – CVE-2024-45113
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe
Merk:
Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen. Sjekk ColdFusion-støttematrisen nedenfor for JDK-versjonen som støttes.
ColdFusion-støttematrise:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Bruk av ColdFusion-oppdateringen uten en tilsvarende JDK-oppdatering sikrer IKKE serveren. Hvis du vil ha mer informasjon, kan du se de relevante tekniske merknadene.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som angitt på ColdFusion-sikkerhetssiden og se respektive veiledninger om låsing.
Krav for ColdFusion JDK
COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere
På JEE-installasjon installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere
For applikasjonsservere
På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Revisjoner
23. desember 2024 – oppdatert: Sammendrag, løsning fra ColdFusion 2023-oppdatering 7 til ColdFusion 2023-oppdatering 12, ColdFusion 2021-oppdatering 13 til ColdFusion 2021-oppdatering 18, prioritet fra 3 til 1, og lagt til i kolonnen Notater i tabellen Sårbarhetsdetaljer.
10. september 2024: Lagt til CVE-2024-45113
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com
