ID buletin
Ultima actualizare la
19 mai 2022
Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB22-22
|
|
Data publicării |
Prioritatea |
|
APSB22-22 |
10 mai 2022 |
3 |
Sumar
Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2021 și 2018. Aceste actualizări rezolvă o vulnerabilitate importantă care ar putea duce la executarea de cod arbitrar.
Versiunile afectate
|
Produs |
Număr actualizare |
Platformă |
|
ColdFusion 2018 |
Actualizarea 13 și versiunile anterioare |
Toate |
|
ColdFusion 2021 |
Versiunea 3 și versiunile anterioare |
Toate |
Soluție
Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:
|
Produs |
Versiune actualizată |
Platformă |
Evaluare a priorității |
Disponibilitate |
|---|---|---|---|---|
|
ColdFusion 2018 |
Update 14 |
Toate |
3 |
|
|
ColdFusion 2021 |
Update 4 |
Toate |
3 |
Notă:
Adobe recomandă actualizarea JDK/JRE ColdFusion la ultima versiune a lansărilor LTS pentru 1.8 și JDK 11. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii.
De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile.
Detalii privind vulnerabilitatea
|
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Scor de bază CVSS |
Numere CVE |
|
|
Scriptare între site-uri (XSS reflectat) (CWE-79) |
Executare de cod arbitrară |
Importantă |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-28818 |
Mențiuni
Adobe dorește să le mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- UB3RSiCK (ub3rsick) - CVE-2022-28818
Cerință JDK ColdFusion
COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent
Pentru servere de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
COLDFUSION 2018 HF1 și mai recent
Pentru servere de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com
