Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń programu Adobe ColdFusion | APSB22-44

ID biuletynu

Data publikacji

Priorytet

APSB22-44

11 października 2022

3

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń programu ColdFusion w wersjach 2021 i 2018. Te aktualizacje usuwają krytyczneistotne i umiarkowanie ważne  luki w zabezpieczeniach, które mogą pozwolić na wykonanie dowolnego kodu, zapisanie dowolnych danych w systemie plików, obejście funkcji bezpieczeństwa lub eskalację uprawnień.



   

Zagrożone wersje

Produkt

Numer aktualizacji

Platforma

ColdFusion 2018

Aktualizacja 14 i wcześniejsze wersje    

Wszystkie

ColdFusion 2021

Aktualizacja 4 i wcześniejsze wersje

Wszystkie

Rozwiązanie

Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom zaktualizowanie posiadanych instalacji do najnowszych wersji:

Produkt

Zaktualizowana wersja

Platforma

Ocena priorytetu

Dostępność

ColdFusion 2018

Aktualizacja 15

Wszystkie

3

ColdFusion 2021

Aktualizacja 5

Wszystkie

3

Uwaga:

Firma Adobe zaleca aktualizację programu ColdFusion JDK/JRE do najnowszej wersji wydań LTS dla JDK 11. Zastosowanie aktualizacji programu ColdFusion bez odpowiedniej aktualizacji oprogramowania JDK NIE umożliwi zabezpieczenia serwera.  Więcej informacji można znaleźć w odpowiednich uwagach technicznych.

Firma Adobe zaleca również klientom zastosowanie ustawień konfiguracji zabezpieczeń opisanych na stronie zabezpieczeń programu ColdFusion, a także zapoznanie się z odpowiednimi przewodnikami dotyczącymi zabezpieczania.   

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ostrość

Podstawowy wynik CVSS 

Numery CVE

Przepełnienie bufora na stosie (CWE-121)

Wykonanie dowolnego kodu

Krytyczna

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35710

Przepełnienie bufora sterty (CWE-122)

Wykonanie dowolnego kodu

Krytyczna

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35711

Przepełnienie bufora na stosie (CWE-121)

Wykonanie dowolnego kodu

Krytyczna

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35690

Przepełnienie bufora sterty (CWE-122)

Wykonanie dowolnego kodu

Krytyczna

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35712

Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („przeglądanie ścieżek”) (CWE-22)

Wykonanie dowolnego kodu

Krytyczna

8,1

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38418

Nieprawidłowe ograniczenie odniesienia do zewnętrznej encji XML („XXE”) (CWE-611)

Odczytanie dowolnych danych w systemie plików

Istotna

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38419

Użycie zakodowanych poświadczeń (CWE-798)

Eskalacja uprawnień

Istotna

6.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

CVE-2022-38420

Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („przeglądanie ścieżek”) (CWE-22)

Wykonanie dowolnego kodu

Ważna

6.6

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38421

Ujawnienie informacji (CWE-200)

Obejście funkcji bezpieczeństwa

Istotna

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2022-38422

Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („przeglądanie ścieżek”) (CWE-22)

Obejście funkcji bezpieczeństwa

Umiarkowanie ważna

4.4

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38423

Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („przeglądanie ścieżek”) (CWE-22)

Zapisanie dowolnych danych w systemie plików

Krytyczna

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38424


Nieprawidłowa walidacja danych wejściowych (CWE-20)


Odczytanie dowolnych danych w systemie plików

Istotna

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42340

Nieprawidłowe ograniczenie odniesienia do zewnętrznej encji XML („XXE”) (CWE-611)


Odczytanie dowolnych danych w systemie plików

Istotna

 

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42341

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Użytkownik rgod współpracujący w ramach programu Zero Day Initiative firmy Trend Micro - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
  • reillyb - CVE-2022-42340, CVE-2022-42341

Wymagane oprogramowanie JDK dla programu ColdFusion

COLDFUSION 2021 (wersja 2021.0.0.323925) i nowsze

Dla serwerów aplikacji   

W przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.

Przykładowo:   

Serwer aplikacji Apache Tomcat: należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh” 

Serwer aplikacji WebLogic: należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd” 

Serwer aplikacji WildFly/EAP: należy edytować pozycję JAVA_OPTS w pliku „standalone.conf” 

Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.  

 

COLDFUSION 2018 HF1 i nowsze  

Dla serwerów aplikacji   

W przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.

Przykładowo:   

Serwer aplikacji Apache Tomcat: należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh” 

Serwer aplikacji WebLogic: należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd” 

Serwer aplikacji WildFly/EAP: należy edytować pozycję JAVA_OPTS w pliku „standalone.conf” 

Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.  

 


Aby uzyskać więcej informacji, odwiedź stronę https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com 

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX 2024

Adobe MAX
The Creativity Conference

14–16 października, plaża Miami Beach i online

Adobe MAX

The Creativity Conference

14–16 października, plaża Miami Beach i online