Bulletin-ID
Sist oppdatert
27. jun. 2024
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB24-41
|
|
Publiseringsdato |
Prioritet |
|
APSB24-41 |
11. juni 2024 |
3 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2023 og 2021. Disse oppdateringene løser viktige sårbarheter som kan føre til vilkårlig lesing av filsystemet og omgåelse av sikkerhetsfunksjoner.
Berørte versjoner
|
Produkt |
Oppdateringsnummer |
Plattform |
|
ColdFusion 2023 |
Oppdatering 7 og tidligere versjoner |
Alle |
|
ColdFusion 2021 |
Oppdatering 13 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
ColdFusion 2023 |
Oppdatering 8 |
Alle |
3 |
|
|
ColdFusion 2021 |
Oppdatering 14 |
Alle |
3 |
Merk:
Se den oppdaterte dokumentasjonen for det serielle filteret for mer informasjon om beskyttelse mot usikre Wddx-deserialiseringsangrep https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-numre |
|
|
Feil tilgangskontroll (CWE-284) |
Vilkårlig lesing av filsystem |
Viktig |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-34112 |
|
Svak kryptografi for passord (CWE-261) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
6.2 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2024-34113 |
Anerkjennelser:
Adobe takker følgende forskere for at de rapporterte dette problemet, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Brian (reillyb) - CVE-2024-34112
- Ian Hickey (ionatomic) - CVE-2024-34113
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Merk:
Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen som et sikkerhetstiltak. Nedlastingssiden ColdFusion oppdateres jevnlig for å inkludere de nyeste Java-installasjonsprogrammene for den JDK-versjonen som støttes av installasjonen, i henhold til matrisene nedenfor.
Du finner instruksjoner om hvordan du bruker et eksternt JDK under Endre ColdFusion JVM.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som beskrevet i ColdFusion sikkerhetsdokumentasjon og se respektive veiledninger om låsing.
Krav for ColdFusion JDK
COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere
På JEE-installasjon installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere
For applikasjonsservere
På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com
