ID buletin
Ultima actualizare la
9 ian. 2025
Actualizări de securitate disponibile pentru Adobe ColdFusion | APSB24-14
|
|
Data publicării |
Prioritatea |
|
APSB24-14 |
12 martie 2024 |
1 |
Sumar
Adobe a lansat actualizări de securitate pentru ColdFusion, versiunile 2023 și 2021. Aceste actualizări remediază vulnerabilități critice care ar putea duce la citirea arbitrară a sistemului de fișiere și la creșterea privilegiilor.
Compania Adobe este conștientă de faptul că CVE-2024-20767 are o dovadă de concept cunoscută care ar putea cauza o citire arbitrară a sistemului de fișiere.
Versiunile afectate
|
Produs |
Număr actualizare |
Platformă |
|
ColdFusion 2023 |
Actualizarea 6 și versiunile anterioare |
Toate |
|
ColdFusion 2021 |
Actualizarea 12 și versiunile anterioare |
Toate |
Soluție
Adobe clasifică aceste actualizări cu următoarele evaluări de prioritate și recomandă utilizatorilor să își actualizeze instalările la cele mai recente versiuni:
|
Produs |
Versiune actualizată |
Platformă |
Evaluare a priorității |
Disponibilitate |
|---|---|---|---|---|
|
ColdFusion 2023 |
Update 12 |
Toate |
1 |
|
|
ColdFusion 2021 |
Update 18 |
Toate |
1 |
Notă:
Consultați documentația actualizată a filtrului serial pentru mai multe detalii despre protecția împotriva atacurilor de deserializare Wddx nesigure https://helpx.adobe.com/ro/coldfusion/kb/coldfusion-serialfilter-file.html
Detalii privind vulnerabilitatea
|
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Scor de bază CVSS |
Numere CVE |
Note |
|
|
Control inadecvat al accesului (CWE-284) |
Citire arbitrară din sistemul de fișiere |
Critică |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
CVE-2024-20767 |
Această vulnerabilitate a fost abordată în continuare în ColdFusion 2023 Update 12 și ColdFusion 2021 Update 18. Vă rugăm să consultați APSB24-107 pentru informații suplimentare. |
|
Autorizare nepotrivită (CWE-287) |
Escaladarea privilegiilor |
Critică |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
CVE-2024-45113 |
Această problemă a fost rezolvată în ColdFusion 2023 Update 7 și ulterior și ColdFusion 2021 Update 13 și ulterior. |
Mențiuni:
Adobe dorește să le mulțumească următorilor cercetători pentru raportarea acestei probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- ma4ter - CVE-2024-20767
- Brian Reilly (reillyb) - CVE-2024-45113
NOTĂ: Adobe are un program public de recompensă pentru erori, cu HackerOne. Dacă sunteți interesat să colaborați cu Adobe în calitate de cercetător extern în domeniul securității, vă rugăm să ne contactați aici: https://hackerone.com/adobe
Notă:
Adobe recomandă actualizarea versiunii LTS JDK/JRE ColdFusion la ultima actualizare lansată. Consultați matricea de suport pentru ColdFusion de mai jos pentru versiunea JDK acceptată.
Matrice de suport pentru ColdFusion:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Aplicarea actualizării ColdFusion fără o actualizare JDK corespunzătoare NU va securiza serverul. Vedeți Notele tehnice relevante pentru mai multe detalii.
De asemenea, Adobe le recomandă clienților să aplice setările de configurare a securității prezentate pe pagina Securitate ColdFusion, precum și să consulte ghidurile de securitate aplicabile.
Cerință JDK ColdFusion
COLDFUSION 2023 (versiunea 2023.0.0.330468) și versiunile ulterioare
Pentru serverele de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**”, în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul 'Catalina.bat/sh'
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul 'startWeblogic.cmd'
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul 'standalone.conf'
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
COLDFUSION 2021 (Versiunea 2021.0.0.323925) și mai recent
Pentru servere de aplicații
Pe instalările JEE, setați următorul marcaj JVM, „-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**”
în fișierul de pornire corespunzător, în funcție de tipul de server de aplicații utilizat.
De exemplu:
Pe serverul de aplicații Apache Tomcat: editați JAVA_OPTS în fișierul „Catalina.bat/sh”
Serverul de aplicații WebLogic: editați JAVA_OPTIONS în fișierul „startWeblogic.cmd”
Serverul de aplicații WildFly/EAP: editați JAVA_OPTS în fișierul „standalone.conf”
Setați marcajele JVM pe o instalare JEE de ColdFusion, nu pe o instalare independentă.
Revizii
23 decembrie 2024 - Actualizat: Rezumat, Soluție de la ColdFusion 2023 actualizarea 7 la ColdFusion 2023 actualizarea 12, ColdFusion 2021 actualizarea 13 la ColdFusion 2021 actualizarea 18, Prioritate de la 3 la 1, și s-a adăugat coloana Note la tabelul Detalii despre vulnerabilitate.
10 septembrie 2024: S-a adăugat CVE-2024-45113
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com
