Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB22-44

ID buletin

Data publicării

Prioritatea

APSB22-44

11 octombrie 2022

3

Sumar

Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2021 și 2018. Aceste actualizări rezolvă vulnerabilitățile criticeimportante și moderate  care ar putea duce la executare de cod arbitrar, scrierea arbitrară a sistemului de fișiere, eludarea caracteristicii de securitate și promovarea privilegiilor.



   

Versiunile afectate

Produs

Număr actualizare

Platformă

ColdFusion 2018

Update 14 și versiunile anterioare    

Toate

ColdFusion 2021

Update 4 și versiunile anterioare

Toate

Soluție

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs

Versiune actualizată

Platformă

Evaluare a priorității

Disponibilitate

ColdFusion 2018

Update 15

Toate

3

ColdFusion 2021

Update 5

Toate

3

Notă:

Adobe recomandă actualizarea JDK/JRE ColdFusion la ultima versiune a lansărilor LTS pentru JDK 11. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii. 

De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile. 

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Scor de bază CVSS 

Numere CVE

Depășire tampon bazată pe stivă (CWE-121)

Executare de cod arbitrară

Critică

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35710

Depășire tampon bazată pe stivă (CWE-122)

Executare de cod arbitrară

Critică

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35711

Depășire tampon bazată pe stivă (CWE-121)

Executare de cod arbitrară

Critică

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35690

Depășire tampon bazată pe stivă (CWE-122)

Executare de cod arbitrară

Critică

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-35712

Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22)

Executare de cod arbitrară

Critică

8.1

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38418

Restricționare inadecvată a referinței la entități externe XML („XXE”) (CWE-611)

Citire arbitrară din sistemul de fișiere

Importantă

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38419

Utilizarea acreditărilor codificate (CWE-798)

Escaladarea privilegiilor

Importantă

6.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

CVE-2022-38420

Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22)

Executare de cod arbitrară

Importantă

6.6

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38421

Expunere la informații (CWE-200)

Ocolirea caracteristicii de securitate

Importantă

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVE-2022-38422

Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22)

Ocolirea caracteristicii de securitate

Moderată

4.4

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2022-38423

Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22)

Scriere arbitrară în sistemul de fișiere

Critică

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2022-38424


Validare neadecvată a intrării (CWE-20)


Citire arbitrară din sistemul de fișiere

Importantă

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42340

Restricționare inadecvată a referinței la entități externe XML („XXE”) (CWE-611)


Citire arbitrară din sistemul de fișiere

Importantă

 

7.5

 

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2022-42341

Mențiuni

Adobe dorește să le mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • rgod lucrând cu inițiativa Zero Day de la Trend Micro - CVE-2022-35710, CVE-2022-35711, CVE-2022-35690, CVE-2022-35712, CVE-2022-38418, CVE-2022-38419, CVE-2022-38420, CVE-2022-38421, CVE-2022-38422, CVE-2022-38423, CVE-2022-38424
  • reillyb - CVE-2022-42340, CVE-2022-42341

Cerință JDK ColdFusion

COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 

COLDFUSION 2018 HF1 și mai recent  

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com 

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?