ID biuletynu
Ostatnia aktualizacja
2 sie 2023
Dostępne aktualizacje zabezpieczeń programu Adobe ColdFusion | APSB23-40
|
|
Data publikacji |
Priorytet |
|
APSB23-40 |
11 lipca 2023 r. |
1 |
Podsumowanie
Firma Adobe udostępniła aktualizacje zabezpieczeń programu ColdFusion w wersji 2023, 2021 i 2018. Te aktualizacje usuwają krytyczne i istotne luki w zabezpieczeniach, które mogły doprowadzić do wykonania dowolnego kodu i ominięcia funkcji zabezpieczeń.
Firma Adobe wie, że lukę CVE-2023-29298 wykorzystano w ograniczonym stopniu, aby atakować przedsiębiorców korzystających z usługi Adobe ColdFusion.
Zagrożone wersje
|
Produkt |
Numer aktualizacji |
Platforma |
|
ColdFusion 2018 |
Aktualizacja 16 i wcześniejsze wersje |
Wszystkie |
|
ColdFusion 2021 |
Aktualizacja 6 i wcześniejsze wersje |
Wszystkie |
|
ColdFusion 2023 |
Wydanie GA (2023.0.0.330468) |
Wszystkie |
Rozwiązanie
Firma Adobe nadaje tym aktualizacjom następujące oceny priorytetów i zaleca użytkownikom zaktualizowanie posiadanych instalacji do najnowszych wersji:
|
Produkt |
Zaktualizowana wersja |
Platforma |
Ocena priorytetu |
Dostępność |
|---|---|---|---|---|
|
ColdFusion 2018 |
Aktualizacja 17 |
Wszystkie |
1 |
|
|
ColdFusion 2021 |
Aktualizacja 7 |
Wszystkie |
1 |
|
|
ColdFusion 2023 |
Aktualizacja 1 |
Wszystkie |
1 |
Uwaga:
Firma Adobe zaleca aktualizację wersji ColdFusion JDK/JRE LTS do najnowszej wydanej wersji. Znajdź obsługiwaną wersję JDK na zestawieniu wersji ColdFusion.
Zastosowanie aktualizacji programu ColdFusion bez odpowiedniej aktualizacji oprogramowania JDK NIE umożliwi zabezpieczenia serwera. Więcej informacji można znaleźć w odpowiednich uwagach technicznych.
Firma Adobe zaleca również klientom zastosowanie ustawień konfiguracji zabezpieczeń opisanych na stronie zabezpieczeń programu ColdFusion, a także zapoznanie się z odpowiednimi przewodnikami dotyczącymi zabezpieczania.
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ostrość |
Podstawowy wynik CVSS |
Numery CVE |
|
|
Niewłaściwa kontrola dostępu (CWE-284) |
Obejście funkcji bezpieczeństwa |
Krytyczna |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Deserializacja niezaufanych danych (CWE-502) |
Wykonanie dowolnego kodu |
Krytyczna |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Niewłaściwe ograniczenie nadmiernych prób uwierzytelnienia (CWE-307) |
Obejście funkcji bezpieczeństwa |
Istotna |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Podziękowania
Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Stephen Fewer - CVE-2023-29298
- Nicolas Zilio (CrowdStrike) - CVE-2023-29300
- Brian Reilly - CVE-2023-29301
UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.
Wymagane oprogramowanie JDK dla programu ColdFusion
COLDFUSION 2023 (wersja 2023.0.0.330468) i nowsze
Dla serwerów aplikacji
W przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.
Na przykład:
Serwer aplikacji Apache Tomcat: edytuj JAVA_OPTS w pliku ‘Catalina.bat/sh’
Serwer aplikacji WebLogic: edytuj JAVA_OPTIONS w pliku ‘startWeblogic.cmd’
Serwer aplikacji WildFly/EAP: edytuj JAVA_OPTS w pliku ‘standalone.conf’
Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.
COLDFUSION 2021 (wersja 2021.0.0.323925) i nowsze
Dla serwerów aplikacji
W przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.
Przykładowo:
Serwer aplikacji Apache Tomcat: należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh”
Serwer aplikacji WebLogic: należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd”
Serwer aplikacji WildFly/EAP: należy edytować pozycję JAVA_OPTS w pliku „standalone.conf”
Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.
COLDFUSION 2018 HF1 i nowsze
Dla serwerów aplikacji
W przypadku instalacji JEE należy ustawić flagę JVM „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**” w odpowiednim pliku rozruchowym odpowiednio do typu używanego serwera aplikacji.
Przykładowo:
Serwer aplikacji Apache Tomcat: należy edytować pozycję JAVA_OPTS w pliku „Catalina.bat/sh”
Serwer aplikacji WebLogic: należy edytować pozycję JAVA_OPTIONS w pliku „startWeblogic.cmd”
Serwer aplikacji WildFly/EAP: należy edytować pozycję JAVA_OPTS w pliku „standalone.conf”
Flagi oprogramowania JVM należy ustawić w instalacji oprogramowania JEE dla programu ColdFusion, a nie w instalacji samodzielnej.
Wersje
19 lipca 2023 r.
- Zaktualizowano akapit z podsumowaniem aby potwierdzić, iż Firma Adobe wie, że lukę CVE-2023-29298 wykorzystano w ograniczonym stopniu, aby atakować przedsiębiorców korzystających z usługi Adobe ColdFusion.
Aby uzyskać więcej informacji, odwiedź stronę https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com
