ID buletin
Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB23-25
|
Data publicării |
Prioritatea |
APSB23-25 |
14 martie 2023 |
1 |
Sumar
Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2021 și 2018. Aceste actualizări rezolvă vunerabilitățile critice și importante care ar putea duce la executarea arbitrară a codului și la scurgeri de memorie.
Compania Adobe este conștientă de faptul că CVE-2023-26360 a fost exploatat în natură în atacuri foarte limitate care au vizat comercianții Adobe ColdFusion.
Versiunile afectate
Produs |
Număr actualizare |
Platformă |
ColdFusion 2018 |
Actualizarea 15 și versiunile anterioare |
Toate |
ColdFusion 2021 |
Actualizarea 5 și versiunile anterioare |
Toate |
Soluție
Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:
Produs |
Versiune actualizată |
Platformă |
Evaluare a priorității |
Disponibilitate |
---|---|---|---|---|
ColdFusion 2018 |
Update 16 |
Toate |
1 |
|
ColdFusion 2021 |
Update 6 |
Toate |
1 |
Adobe recomandă actualizarea JDK/JRE ColdFusion la ultima versiune a lansărilor LTS pentru JDK 11. Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii.
De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile.
Detalii privind vulnerabilitatea
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Scor de bază CVSS |
Numere CVE |
|
Deserializare de date neautorizate (CWE-502) |
Executare de cod arbitrară |
Critică |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-26359 |
Control inadecvat al accesului (CWE-284) |
Executare de cod arbitrară |
Critică |
8.6 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
CVE-2023-26360 |
Limitare incorectă a unui nume de cale la un director restricționat („Traversarea căii”) (CWE-22) |
Scurgere de memorie |
Importantă |
4.9 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26361 |
Mențiuni
Adobe dorește să le mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Patrick Vares (ELS-PHI) - CVE-2023-26359
- Charlie Arehart și Pete Freitag - CVE-2023-26360
- Dusan Stevanovic de la Trend Micro - CVE-2023-26361
Cerință JDK ColdFusion
COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent
Pentru servere de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
COLDFUSION 2018 HF1 și mai recent
Pentru servere de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
Revizii
14 martie 2023: Impactul vulnerabilității revizuit pentru CVE-2023-26360
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com