ID buletin
Ultima actualizare la
2 aug. 2023
Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB23-47
|
|
Data publicării |
Prioritatea |
|
APSB23-47 |
19 iulie 2023 |
1 |
Sumar
Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2023, 2021 și 2018. Aceste actualizări rezolvă vulnerabilitățile critice și moderate care ar putea duce la executarea arbitrară a codului și la ocolirea caracteristicii de securitate.
Compania Adobe este conștientă de faptul că CVE-2023-38205 a fost exploatat în natură în atacuri limitate care au vizat Adobe ColdFusion.
Versiunile afectate
|
Produs |
Număr actualizare |
Platformă |
|
ColdFusion 2023 |
Actualizarea 2 și versiunile anterioare |
Toate |
|
ColdFusion 2021 |
Actualizarea 8 și versiunile anterioare |
Toate |
|
ColdFusion 2018 |
Update 18 și versiunile anterioare |
Toate |
Soluție
Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:
|
Produs |
Versiune actualizată |
Platformă |
Evaluare a priorității |
Disponibilitate |
|---|---|---|---|---|
|
ColdFusion 2023 |
Actualizarea 3 |
Toate |
1 |
|
|
ColdFusion 2021 |
Update 9 |
Toate |
1 |
|
|
ColdFusion 2018 |
Update 19 |
Toate |
1 |
Notă:
Dacă în viitor veți lua cunoștință de vreun pachet cu o vulnerabilitate de deserializare, utilizați fișierul serialfilter.txt din <cfhome>/lib pentru a adăuga în lista de entități refuzate pachetul respectiv (de exemplu: !org.jgroups.**;)
Detalii privind vulnerabilitatea
|
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Scor de bază CVSS |
Numere CVE |
|
|
Deserializare de date neautorizate (CWE-502) |
Executare de cod arbitrară |
Critică |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-38204 |
|
Control inadecvat al accesului (CWE-284) |
Ocolirea caracteristicii de securitate |
Critică |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-38205 |
|
Control inadecvat al accesului (CWE-284) |
Ocolirea caracteristicii de securitate |
Moderată |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-38206 |
Mențiuni:
Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Rahul Maini, Harsh Jaiswal @ ProjectDiscovery Research – CVE-2023-38204
- MoonBack (ipplus360) – CVE-2023-38204
- Stephen Fewer – CVE-2023-38205
- Brian Reilly – CVE-2023-38206
NOTĂ: Adobe are un program privat de recompensă pentru erori, cu invitație exclusivă, cu HackerOne. Dacă sunteți interesat să lucrați cu Adobe în calitate de cercetător extern în domeniul securității, completați acest formular pentru pașii următori.
Mențiuni
Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Yonghui Han de la FortiGuard Labs a Fortinet – CVE-2023-29308, CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319
NOTĂ: Adobe are un program privat de recompensă pentru erori, cu invitație exclusivă, cu HackerOne. Dacă sunteți interesat să lucrați cu Adobe în calitate de cercetător extern în domeniul securității, completați acest formular pentru pașii următori.
Notă:
Adobe recomandă actualizarea versiunii LTS JDK/JRE ColdFusion la ultima actualizare lansată. Consultați matricea de suport pentru ColdFusion de mai jos pentru versiunea JDK acceptată.
Matrice de suport pentru ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
CF2018: https://helpx.adobe.com/pdf/coldfusion2018-support-matrix.pdf
Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii.
De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile.
Cerință JDK ColdFusion
COLDFUSION 2023 (versiunea 2023.0.0.330468) și versiunile ulterioare
Pentru serverele de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul 'Catalina.bat/sh'
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul 'startWeblogic.cmd'
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul 'standalone.conf'
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent
Pentru servere de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**”
în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
COLDFUSION 2018 HF1 și mai recent
Pentru servere de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**”
în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com
