Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe ColdFusion | APSB23-47

ID do boletim

Data de publicação

Prioridade

APSB23-47

19 de julho de 2023

1

Resumo

A Adobe lançou atualizações de segurança para as versões 2023, 2021 e 2018 do ColdFusion. Esta atualização resolve vulnerabilidades críticas e importantes que poderiam levar à execução arbitrária de código e desvios de recursos de segurança.

A Adobe está ciente de que o CVE-2023-38205 tem sido explorado na Web em ataques limitados contra o Adobe ColdFusion.

Versões afetadas

Produto

Número da atualização

Plataforma

ColdFusion 2023

Atualização 2 de e versões anteriores    

Todos

ColdFusion 2021

Atualização 8 e versões anteriores

Todos

ColdFusion 2018

Atualização 18 e versões anteriores

Todos

Solução

A Adobe classifica essas atualizações com a seguinte avaliação de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão atualizada

Plataforma

Classificação de prioridade

Disponibilidade

ColdFusion 2023

Atualização 3

Todos

1

ColdFusion 2021

Atualização 9

Todos

1

ColdFusion 2018

Atualização 19

Todos

                 1

Observação:

Se você perceber que há um pacote com uma vulnerabilidade de desserialização no futuro, use o arquivo serialfilter.txt no <cfhome>/lib para negar o pacote (por exemplo: !org.jgroups.**;)

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Pontuação base de CVSS 

Números CVE

Cancelamento de serialização de dados não confiáveis (CWE-502)

Execução de código arbitrário

Crítico

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-38204

Controle de acesso impróprio (CWE-284)

Falha de recurso de segurança

Crítico

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2023-38205

Controle de acesso impróprio (CWE-284)

Falha de recurso de segurança

Moderado

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2023-38206

Agradecimentos:

A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

  • Rahul Maini, Harsh Jaiswal @ Pesquisa ProjectDiscovery - CVE-2023-38204
  • MoonBack (ipplus360) - CVE-2023-38204
  • Stephen Fewer - CVE-2023-38205
  • Brian Reilly - CVE-2023-38206

OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.

Agradecimentos

A Adobe gostaria de agradecer ao seguinte pesquisador por ter relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes:   

  • Yonghui Han da FortiGuard Labs da Fortinet - CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319

OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.

Observação:

A Adobe recomenda atualizar sua versão do ColdFusion JDK/JRE LTS para a versão mais recente. Verifique a matriz de suporte do ColdFusion abaixo para saber qual é a versão do JDK compatível.

Matriz de suporte do ColdFusion:

CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf

CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf

CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf

Aplicar a atualização de ColdFusion sem uma atualização correspondente do JDK não protegerá o servidor.  Consulte as notas técnicas relevantes para obter mais detalhes.

A Adobe recomenda que os clientes apliquem as configurações de segurança descritas na página Segurança do ColdFusion, além de revisar os respectivos guias de bloqueio.  

Requisito de JDK do ColdFusion

COLDFUSION 2023 (versão 2023.0.0.330468) e superior
Para servidores de aplicativos

Em instalações JEE, defina o seguinte sinalizador JVM, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.

Por exemplo:
Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo 'Catalina.bat/sh'
Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo 'startWeblogic.cmd'
Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo 'standalone.conf'
Defina os sinalizadores JVM em uma instalação JEE do ColdFusion, não em uma instalação autônoma.

 

COLDFUSION 2021 (versão 2021.0.0.323925) e superior

Para servidores de aplicativos   

Em instalações do JEE, defina o seguinte sinalizador, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.

Por exemplo:   

Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"

Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"

Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.   

 

COLDFUSION 2018 HF1 e superior  

Para servidores de aplicativos   

Em instalações do JEE, defina o seguinte sinalizador, “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"

no respectivo arquivo de inicialização, dependendo do tipo de servidor de aplicativos sendo usado.

Por exemplo:   

Servidor de aplicativos Apache Tomcat: edite JAVA_OPTS no arquivo "Catalina.bat/sh"

Servidor de aplicativos WebLogic: edite JAVA_OPTIONS no arquivo "startWeblogic.cmd"

Servidor de aplicativos WildFly/EAP: edite JAVA_OPTS no arquivo "standalone.conf"

Defina os sinalizadores JVM em uma instalação de JEE de ColdFusion, não em uma instalação individual.   


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com 

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?