ID do boletim
Última atualização em
19/05/2022
Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB22-22
|
|
Data de publicação |
Prioridade |
|
APSB22-22 |
10 de maio de 2022 |
3 |
Resumo
A Adobe lançou atualizações de segurança para as versões 2021 e 2018 do ColdFusion. Essas atualizações resolvem uma vulnerabilidade importante que poderia levar à execução arbitrária de código.
Versões afetadas
|
Produto |
Número da atualização |
Plataforma |
|
ColdFusion 2018 |
Atualização 13 e versões anteriores |
Todos |
|
ColdFusion 2021 |
Versão 3 e versões anteriores |
Todos |
Solução
A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
|
Produto |
Versão atualizada |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
ColdFusion 2018 |
Atualização 14 |
Todos |
3 |
|
|
ColdFusion 2021 |
Atualização 4 |
Todos |
3 |
Observação:
A Adobe recomenda atualizar o ColdFusion JDK/JRE para a versão mais recente das versões LTS para 1.8 e JDK 11. Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor. Consulte as Notas técnicas relevantes para obter mais detalhes.
A Adobe recomenda que os clientes apliquem as configurações de segurança descritas na página Segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Números CVE |
|
|
Criação de script entre sites (XSS Refletido) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-28818 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por relatarem os problemas relevantes e por trabalharem com a Adobe para ajudar a proteger os nossos clientes:
- UB3RSiCK (ub3rsick) - CVE-2022-28818
Requisito de JDK do ColdFusion
COLDFUSION 2021 (versão 2021.0.0.323925) e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", no respectivo arquivo de inicialização dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
COLDFUSION 2018 HF1 e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", no respectivo arquivo de inicialização dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com
