Bulletin-ID
Sist oppdatert
25. sep. 2024
Sikkerhetsoppdateringer tilgjengelig for Adobe ColdFusion | APSB24-71
|
|
Publiseringsdato |
Prioritet |
|
APSB24-71 |
10. september 2024 |
3 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for ColdFusion versjon 2023 og 2021. Disse oppdateringene løser et kritisk sikkerhetsproblem som kan føre til vilkårlig kjøring av kode.
Berørte versjoner
|
Produkt |
Oppdateringsnummer |
Plattform |
|
ColdFusion 2023 |
Oppdatering 9 og tidligere versjoner |
Alle |
|
ColdFusion 2021 |
Oppdatering 15 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene:
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Tilgjengelighet |
|---|---|---|---|---|
|
ColdFusion 2023 |
Oppdatering 10 |
Alle |
3 |
|
|
ColdFusion 2021 |
Oppdatering 16 |
Alle |
3 |
Merk:
Se den oppdaterte dokumentasjonen for det serielle filteret for mer informasjon om beskyttelse mot usikre Wddx-deserialiseringsangrep https://helpx.adobe.com/no/coldfusion/kb/coldfusion-serialfilter-file.html
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-numre |
|
|
Deserialisering av ikke-klarerte data (CWE-502) |
Vilkårlig kjøring av kode |
Kritisk |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2024-41874 |
Anerkjennelser:
Adobe takker følgende forskere for at de rapporterte dette problemet, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- sapra – CVE-2024-41874
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke oss ut her: https://hackerone.com/adobe.
Merk:
Adobe anbefaler at du oppdaterer ColdFusion JDK/JRE LTS-versjonen til den nyeste oppdateringsutgivelsen som et sikkerhetstiltak. Nedlastingssiden ColdFusion oppdateres jevnlig for å inkludere de nyeste Java-installasjonsprogrammene for den JDK-versjonen som støttes av installasjonen, i henhold til matrisene nedenfor.
Du finner instruksjoner om hvordan du bruker et eksternt JDK under Endre ColdFusion JVM.
Adobe anbefaler også kunden å anvende innstillingene for sikkerhetskonfigurasjon som beskrevet i ColdFusion sikkerhetsdokumentasjon og se respektive veiledninger om låsing.
Krav for ColdFusion JDK
COLDFUSION 2023 (versjon 2023.0.0.330468) og nyere
For applikasjonsservere
På JEE-installasjon installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**» i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
Eksempel:
Applikasjonsserveren Apache Tomcat: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
Applikasjonsserveren WildFly/EAP: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
COLDFUSION 2021 (Versjon 2021.0.0.323925) og nyere
For applikasjonsservere
På JEE-installasjoner må du sette JVM-flagget «-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
i respektive oppstartsfil avhengig av typen applikasjonsserver som brukes.
For eksempel:
Apache Tomcat-applikasjonsserver: Rediger JAVA_OPTS i filen Catalina.bat/sh
WebLogic-applikasjonsserver: Rediger JAVA_OPTIONS i filen startWeblogic.cmd
WildFly/EAP-applikasjonsserver: Rediger JAVA_OPTS i filen standalone.conf
Sett JVM-flaggene på en JEE-installasjon av ColdFusion, ikke på en frittstående installasjon.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-postmelding til PSIRT@adobe.com
