Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB22-22

ID buletin

Data publicării

Prioritatea

APSB22-22

10 mai 2022

3

Sumar

Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2021 și 2018. Aceste actualizări rezolvă o vulnerabilitate importantă  care ar putea duce la executarea de cod arbitrar.
   

Versiunile afectate

Produs

Număr actualizare

Platformă

ColdFusion 2018

Actualizarea 13 și versiunile anterioare    

Toate

ColdFusion 2021

Versiunea 3 și versiunile anterioare

Toate

Soluție

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs

Versiune actualizată

Platformă

Evaluare a priorității

Disponibilitate

ColdFusion 2018

Update 14

Toate

3

ColdFusion 2021

Update 4

Toate

3

Notă:

Adobe recomandă actualizarea JDK/JRE ColdFusion la ultima versiune a lansărilor LTS pentru 1.8 și JDK 11. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii. 

De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile. 

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Scor de bază CVSS 

Numere CVE

Scriptare între site-uri (XSS reflectat) (CWE-79)

Executare de cod arbitrară

Importantă 

5.4

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2022-28818

Mențiuni

Adobe dorește să le mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • UB3RSiCK (ub3rsick) - CVE-2022-28818

Cerință JDK ColdFusion

COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 

COLDFUSION 2018 HF1 și mai recent  

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com 

Sigla Adobe

Conectați-vă la cont