ID do boletim
Última atualização em
22/10/2022
Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB22-44
|
|
Data de publicação |
Prioridade |
|
APSB22-44 |
11 de outubro de 2022 |
3 |
Resumo
A Adobe lançou atualizações de segurança para as versões 2021 e 2018 do ColdFusion. Essas atualizações resolvem vulnerabilidades Críticas, Importantes e Moderadas que podem levar à execução arbitrária de código, gravação arbitrária de sistema de arquivos, desvio de recurso de segurança e escalonamento de privilégios.
Versões afetadas
|
Produto |
Número da atualização |
Plataforma |
|
ColdFusion 2018 |
Atualização 14 e versões anteriores |
Todos |
|
ColdFusion 2021 |
Atualização 4 e versões anteriores |
Todos |
Solução
A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
|
Produto |
Versão atualizada |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
ColdFusion 2018 |
Atualização 15 |
Todos |
3 |
|
|
ColdFusion 2021 |
Atualização 5 |
Todos |
3 |
Observação:
A Adobe recomenda atualizar o ColdFusion JDK/JRE para a versão mais recente das versões LTS para JDK 11. Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor. Consulte as Notas técnicas relevantes para obter mais detalhes.
A Adobe recomenda que os clientes apliquem as configurações de segurança descritas na página Segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Números CVE |
|
|
Transbordamento de dados baseado em pilha (CWE-121) |
Execução de código arbitrário |
Crítico |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35710 |
|
Estouro de buffer baseado em heap (CWE-122) |
Execução de código arbitrário |
Crítico |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35711 |
|
Transbordamento de dados baseado em pilha (CWE-121) |
Execução de código arbitrário |
Crítico |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35690 |
|
Estouro de buffer baseado em heap (CWE-122) |
Execução de código arbitrário |
Crítico |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-35712 |
|
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) |
Execução de código arbitrário |
Crítico |
8.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38418 |
|
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611) |
Leitura arbitrária do sistema de arquivos |
Importante |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38419 |
|
Uso de credenciais codificadas (CWE-798) |
Escalonamento de privilégio |
Importante |
6.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
CVE-2022-38420 |
|
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) |
Execução de código arbitrária |
Importante |
6.6 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38421 |
|
Exposição de Informações (CWE-200) |
Falha de recurso de segurança |
Importante |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-38422 |
|
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) |
Falha de recurso de segurança |
Moderado |
4.4 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-38423 |
|
Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) |
Gravação arbitrária do sistema de arquivos |
Crítico |
7,2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2022-38424 |
|
|
|
Importante |
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42340 |
|
Restrição incorreta da referência de entidade externa do XML (‘XXE’) (CWE-611) |
|
Importante
|
7.5
|
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-42341 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por relatarem os problemas relevantes e por trabalharem com a Adobe para ajudar a proteger os nossos clientes:
- rgod trabalhando com a Zero Day Initiative da Trend Micro - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
- reillyb - CVE-2022-42340, CVE-2022-42341
Requisito de JDK do ColdFusion
COLDFUSION 2021 (versão 2021.0.0.323925) e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", no respectivo arquivo de inicialização dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
COLDFUSION 2018 HF1 e superior
Para servidores de aplicativos
Em instalações do JEE, defina o seguinte sinalizador JVM: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**", no respectivo arquivo de inicialização dependendo do tipo de servidor de aplicativos sendo usado.
Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"
Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com
