Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB23-25

ID buletin

Data publicării

Prioritatea

APSB23-25

14 martie 2023

1

Sumar

Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2021 și 2018. Aceste actualizări rezolvă vunerabilitățile critice și importante  care ar putea duce la executarea arbitrară a codului și la scurgeri de memorie.

Compania Adobe este conștientă de faptul că CVE-2023-26360 a fost exploatat în natură în atacuri foarte limitate care au vizat comercianții Adobe ColdFusion.

Versiunile afectate

Produs

Număr actualizare

Platformă

ColdFusion 2018

Actualizarea 15 și versiunile anterioare    

Toate

ColdFusion 2021

Actualizarea 5 și versiunile anterioare

Toate

Soluție

Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:

Produs

Versiune actualizată

Platformă

Evaluare a priorității

Disponibilitate

ColdFusion 2018

Update 16

Toate

1

ColdFusion 2021

Update 6 

Toate

1

Notă:

Adobe recomandă actualizarea JDK/JRE ColdFusion la ultima versiune a lansărilor LTS pentru JDK 11. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii. 

De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile. 

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Scor de bază CVSS 

Numere CVE

Deserializare de date neautorizate (CWE-502)

Executare de cod arbitrară

Critică

9.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2023-26359

Control inadecvat al accesului (CWE-284)

Executare de cod arbitrară

Critică

8.6

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

CVE-2023-26360

Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22)

Scurgere de memorie

Importantă

4.9

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2023-26361

Mențiuni

Adobe dorește să le mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:

  • Patrick Vares (ELS-PHI) - CVE-2023-26359
  • Charlie Arehart și Pete Freitag - CVE-2023-26360
  • Dusan Stevanovic de la Trend Micro - CVE-2023-26361

Cerință JDK ColdFusion

COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 

COLDFUSION 2018 HF1 și mai recent  

Pentru servere de aplicații   

Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat. 

De exemplu:   

Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”

Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”   

Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”   

Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.   

 

Revizii

14 martie 2023: Impactul vulnerabilității revizuit pentru CVE-2023-26360


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com 

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online